привет первопроходцам! -- У каждого в башке свои тараканы...
Genix wrote:
> привет первопроходцам!
тест
--
У каждого в башке свои тараканы...
Всем привет! -- With my best regards to you !! http://rusarchives.ru http://rgantd.ru http://victory.rusarchives.ru SilverFox@rgantd.ru
В сообщении от Четверг 15 Декабрь 2005 16:21 Anatoliy Lisjutin написал(a):
> Всем привет!
Привет и тебе ... ;) Видать пока никого ещё нет ... ;)
--
С уважением, Шенцев Алексей (AShen)
Встала такая задача - произвести проверку работоспособности сети, выявить её наиболее узкие и сбойные места. Как и чем её решить? -- С уважением, Шенцев Алексей (AShen)
Шенцев Алексей Владимирович wrote:
>>Всем привет!
>
> Привет и тебе ... ;) Видать пока никого ещё нет ... ;)
Количество подписчиков стабильно растет, просто большинство из них люди
занятые, и на вопрос, не относящийся к теме рассылки ответили молчаливым
согласием. Думаю так ;)
--
У каждого в башке свои тараканы...
Шенцев Алексей Владимирович пишет:
> В сообщении от Четверг 15 Декабрь 2005 16:21 Anatoliy Lisjutin написал(a):
>
>> Всем привет!
>>
> Привет и тебе ... ;) Видать пока никого ещё нет ... ;)
>
Привет всем ! :)
[-- Attachment #1: Type: text/plain, Size: 355 bytes --] * -=DiVeR=- <diver666@> [051215 16:53]: > > > Всем привет! > > Привет и тебе ... ;) Видать пока никого ещё нет ... ;) > Есть, но молча :) ПРЕТЫ ВСЕМ В ЭТАМ ЧАТИ!!! ;-) -- Regards, Alexey I. Froloff AIF5-RIPN, AIF5-RIPE ------------------------------------------- Inform-Mobil, Ltd. System Administrator http://www.inform-mobil.ru/ [-- Attachment #2: Digital signature --] [-- Type: application/pgp-signature, Size: 189 bytes --]
-=DiVeR=- пишет:
>>Привет и тебе ... ;) Видать пока никого ещё нет ... ;)
> Есть, но молча :)
+1. Много работы.
--
np: Paradise Lost - Fader
Alexey I. Froloff пишет:
>>>Привет и тебе ... ;) Видать пока никого ещё нет ... ;)
>>Есть, но молча :)
> ПРЕТЫ ВСЕМ В ЭТАМ ЧАТИ!!! ;-)
Чмог тя! :-)
--
np: Paradise Lost - Illumination
[-- Attachment #1: Type: text/plain, Size: 390 bytes --] В сообщении от 15 Декабрь 2005 16:54 Alexey I. Froloff написал(a): > * -=DiVeR=- <diver666@> [051215 16:53]: > > > > Всем привет! > > > > > > Привет и тебе ... ;) Видать пока никого ещё нет ... ;) > > > > Есть, но молча :) > > ПРЕТЫ ВСЕМ В ЭТАМ ЧАТИ!!! ;-) хая -- Valery V. Inozemtsev [-- Attachment #2: Type: application/pgp-signature, Size: 190 bytes --]
[-- Attachment #1: Type: text/plain, Size: 470 bytes --] On Thu, Dec 15, 2005 at 04:54:32PM +0300, Alexey I. Froloff wrote: > ПРЕТЫ ВСЕМ В ЭТАМ ЧАТИ!!! ;-) > Neko, nya-nya :) -- С уважением, Алексей Морсов системный администратор ЗАО "ИК "Риком-Траст" ICQ: 196-766-290 Jabber: samurai@www.fondmarket.ru www.ricom.ru www.fondmarket.ru Kajiura Yuki - battlefield <avn> Voins: а чем ваш aegis так хорош? ;) <Voins> avn, мне удобно :) у него есть куча плюсов, но к ним прилагается куча минусов. [-- Attachment #2: Digital signature --] [-- Type: application/pgp-signature, Size: 481 bytes --]
On Thu, Dec 15, 2005 at 05:42:46PM +0300 Alexey Morsov wrote:
> On Thu, Dec 15, 2005 at 04:54:32PM +0300, Alexey I. Froloff wrote:
> > ПРЕТЫ ВСЕМ В ЭТАМ ЧАТИ!!! ;-)
> >
> Neko, nya-nya :)
Konnitiwa
--
WBR,
Maxim Bodyansky
Alexey Morsov пишет:
>>ПРЕТЫ ВСЕМ В ЭТАМ ЧАТИ!!! ;-)
> Neko, nya-nya :)
YOЪ!
--
np: Paradise Lost - Don't Belong
поздравляю с открытием списка :) Вопрос такой: в районной домовой сети "упал" ДНС. Уже почти неделю. Админы в курсе, но не чинят, видимо не умеют :(. Видимо, придется пользователям писать для них инструкции. Выглядит падение так: [alexei@threebears alexei]$ nslookup google.com 10.104.0.1 Server: 10.104.0.1 Address: 10.104.0.1#53 Non-authoritative answer: *** Can't find google.com: No answer Т.е. хост не отресолвился. И так со всеми (которые проверял) хостами из зон, отличных от .ru. Рунет работает: [alexei@threebears alexei]$ nslookup lenta.ru 10.104.0.1 Server: 10.104.0.1 Address: 10.104.0.1#53 Non-authoritative answer: Name: lenta.ru Address: 81.19.69.28 Рeзультат dig: [alexei@threebears alexei]$ dig @10.104.0.1 google.com ; <<>> DiG 9.3.1 <<>> @10.104.0.1 google.com ; (1 server found) ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 1463 ;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 4, ADDITIONAL: 4 ;; QUESTION SECTION: ;google.com. IN A ;; AUTHORITY SECTION: google.com. 123437 IN NS ns4.google.com. google.com. 123437 IN NS ns1.google.com. google.com. 123437 IN NS ns2.google.com. google.com. 123437 IN NS ns3.google.com. ;; ADDITIONAL SECTION: ns1.google.com. 317996 IN A 216.239.32.10 ns2.google.com. 317996 IN A 216.239.34.10 ns3.google.com. 296237 IN A 216.239.36.10 ns4.google.com. 296237 IN A 216.239.38.10 ;; Query time: 10 msec ;; SERVER: 10.104.0.1#53(10.104.0.1) ;; WHEN: Thu Dec 15 23:49:06 2005 ;; MSG SIZE rcvd: 164 Не подскажите, в чем может быть проблема? Или недостаточно информации? -- ------------------------------------------------------------------------ With best regards Alexei V. Mezin mailto:alex783@hotbox.ru
Alexei V. Mezin пишет: > поздравляю с открытием списка :) > > Вопрос такой: в районной домовой сети "упал" ДНС. Уже почти неделю. > Админы в курсе, но не чинят, видимо не умеют :(. Видимо, придется > пользователям писать для них инструкции. > > Выглядит падение так: > ... > > Рeзультат dig: > [alexei@threebears alexei]$ dig @10.104.0.1 google.com > > ; <<>> DiG 9.3.1 <<>> @10.104.0.1 google.com > ; (1 server found) > ;; global options: printcmd > ;; Got answer: > ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 1463 > ;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 4, ADDITIONAL: 4 > > ;; QUESTION SECTION: > ;google.com. IN A > > ;; AUTHORITY SECTION: > google.com. 123437 IN NS ns4.google.com. > google.com. 123437 IN NS ns1.google.com. > google.com. 123437 IN NS ns2.google.com. > google.com. 123437 IN NS ns3.google.com. > > ;; ADDITIONAL SECTION: > ns1.google.com. 317996 IN A 216.239.32.10 > ns2.google.com. 317996 IN A 216.239.34.10 > ns3.google.com. 296237 IN A 216.239.36.10 > ns4.google.com. 296237 IN A 216.239.38.10 > > ;; Query time: 10 msec > ;; SERVER: 10.104.0.1#53(10.104.0.1) > ;; WHEN: Thu Dec 15 23:49:06 2005 > ;; MSG SIZE rcvd: 164 > > Не подскажите, в чем может быть проблема? Или недостаточно информации? Судя по dig -- сервер жив. Возможные проблемы (то, что желательно проверить): 1. На сервере запрещена рекурсия. Если "dig @216.239.32.10 google.com" вернёт требуемый IP -- то установка кешерущего DNS проблему, для вас, решит. 2. Нарушена связность с зарубежными сетями. Способ проверки -- "ping 216.239.32.10". -- С уважением. Алексей.
Aleksey Avdeev пишет: > 1. На сервере запрещена рекурсия. Если "dig @216.239.32.10 google.com" > вернёт требуемый IP -- то установка кешерущего DNS проблему, для вас, решит. Естественно, что dig через другие севера работает, интернет-то жив. А что можно поставить в качестве локалного ДНС-кэша? > 2. Нарушена связность с зарубежными сетями. Способ проверки -- "ping > 216.239.32.10". Нет, интернет доступен весь. Просто ДНС провайдера не хочет выдавать адреса зон, отличных от .ru.
Alexei V. Mezin пишет:
> Aleksey Avdeev пишет:
>
>> 1. На сервере запрещена рекурсия. Если "dig @216.239.32.10 google.com"
>> вернёт требуемый IP -- то установка кешерущего DNS проблему, для вас,
>> решит.
>
> Естественно, что dig через другие севера работает, интернет-то жив. А
> что можно поставить в качестве локалного ДНС-кэша?
Сеё от _личных_ предпочтений зависит. :-)
Я обычно bind использую, благо в ALT он "из коробки" в кешерующем
режиме работает. (По минимуму -- "forward first" на провайдерские
сервера, обычно, прописываю. Но и это не обязательно...)
Если на модеме -- pdnsd.
--
С уважением. Алексей.
On Fri, Dec 16, 2005 at 01:50:25AM +0300, Alexei V. Mezin wrote: > Просто ДНС провайдера не хочет выдавать адреса зон, отличных от > .ru. Можно попинать провайдера включить рекурсию для своих сетей, но настаивать на этом не совсем корректно. Проще пользоваться своим рекурсивным (для себя!) NS. -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/
[-- Attachment #1: Type: text/plain, Size: 869 bytes --] On Thu, Dec 15, 2005 at 05:48:17PM +0300, Maxim Bodyansky wrote: > On Thu, Dec 15, 2005 at 05:42:46PM +0300 Alexey Morsov wrote: > > On Thu, Dec 15, 2005 at 04:54:32PM +0300, Alexey I. Froloff wrote: > > > ПРЕТЫ ВСЕМ В ЭТАМ ЧАТИ!!! ;-) > > > > > Neko, nya-nya :) > > Konnitiwa konnichiha desu :) Тогда уж :) -- С уважением, Алексей Морсов системный администратор ЗАО "ИК "Риком-Траст" ICQ: 196-766-290 Jabber: samurai@www.fondmarket.ru www.ricom.ru www.fondmarket.ru <href_> All! Какого юзера правильно назначить владельцем /var/ftp/incoming ? В доке (мастер2.4) советуют ftpadmin, но в системе такого юзера нет! Создать самому? <Pilot> вызвать специалиста :) <href_> Pilot: так поздно уже, все спецы спят! %) <lioka> href_: иди и ты Ж) <Pilot> href_: будешь как спец <href_> это точно #altlinux ? %) <lioka> href_: это #delwindoze [-- Attachment #2: Digital signature --] [-- Type: application/pgp-signature, Size: 481 bytes --]
On Fri, 16 Dec 2005 18:25:43 +0300
Alexey Morsov <samurai@ricom.ru> wrote:
> On Thu, Dec 15, 2005 at 05:48:17PM +0300, Maxim Bodyansky
> wrote:
> > On Thu, Dec 15, 2005 at 05:42:46PM +0300 Alexey Morsov wrote:
> > > On Thu, Dec 15, 2005 at 04:54:32PM +0300, Alexey I.
> > > Froloff wrote:
> > > > ПРЕТЫ ВСЕМ В ЭТАМ ЧАТИ!!! ;-)
> > > >
> > > Neko, nya-nya :)
> >
> > Konnitiwa
> konnichiha desu :) Тогда уж :)
Одно слово, хороший лист рассылки получился.
--
С уважением,
С.С.Скулаченко
Sergey S. Skulachenko пишет:
>>>>>ПРЕТЫ ВСЕМ В ЭТАМ ЧАТИ!!! ;-)
>>>>Neko, nya-nya :)
>>>Konnitiwa
>>konnichiha desu :) Тогда уж :)
> Одно слово, хороший лист рассылки получился.
Укуренный?
--
np: Paradise Lost - Silent
[-- Attachment #1: Type: text/plain, Size: 324 bytes --] здравствуйте, стоит задача - хотим заменить машинку, что пускает в интернет через спутник на железку, что в стойку можно поставить. наиболее оптимальный вариант - найти плату расширения для cisco 36-й серии (клиент просит). вот сижу google'ю и не совсем понимаю, что мне выбрать. -- С уважением, Афанасов Дмитрий [-- Attachment #2: Digital signature --] [-- Type: application/pgp-signature, Size: 189 bytes --]
Afanasov Dmitry пишет:
>здравствуйте,
>стоит задача - хотим заменить машинку, что пускает в интернет через
>спутник на железку, что в стойку можно поставить. наиболее оптимальный
>вариант - найти плату расширения для cisco 36-й серии (клиент просит). вот
>сижу google'ю и не совсем понимаю, что мне выбрать.
>
>
Дима, хотелось бы знать какая именно циска, какой порт нужен (ethernet,
E1, etc)
Если нужен один ethernet, то модуль - NM-1E.
[-- Attachment #1: Type: text/plain, Size: 402 bytes --] On Wed, Dec 21, 2005 at 08:47:08PM +0300, Zilke Pavel wrote: > Afanasov Dmitry пишет: > > Дима, хотелось бы знать какая именно циска, какой порт нужен (ethernet, > E1, etc) > Если нужен один ethernet, то модуль - NM-1E. что за "нужен ethernet"? тут же в циску надо просто dvb вход добавить, а все выходы у неё самой уже имеются. кошка кстати 3660. -- С уважением, Афанасов Дмитрий [-- Attachment #2: Digital signature --] [-- Type: application/pgp-signature, Size: 189 bytes --]
Afanasov Dmitry пишет:
>On Wed, Dec 21, 2005 at 08:47:08PM +0300, Zilke Pavel wrote:
>> Afanasov Dmitry пишет:
>>
>> Дима, хотелось бы знать какая именно циска, какой порт нужен (ethernet,
>> E1, etc)
>> Если нужен один ethernet, то модуль - NM-1E.
>что за "нужен ethernet"? тут же в циску надо просто dvb вход добавить, а
>все выходы у неё самой уже имеются.
>
>кошка кстати 3660.
>
>
Про подобные модули для 3660, как вроде и для других кошек, не слышал.
Чем народ посоветует посмотреть статистику по исх трафику? Посмотреть нужно на роутере с ALM24 и кучкой вланов на базе сетевой карточки от интел. -- np: silence
Как то мелькнула ссылка на список игр в сизифе, да я чёт её не нашёл. Подскажите, плиз ... ;) -- С уважением, Шенцев Алексей (AShen)
Пардон, не в ту расылку случайно отправил ... ;) -- С уважением, Шенцев Алексей (AShen)
Здравствуйте! Не подскажете, какую машину надо на контроллер домена (около 150 компов в локальной сети) ? -- С уважением, Беляев ICQ: 119181289
Беляев В.Н. пишет:
> Не подскажете, какую машину надо на контроллер домена (около 150
> компов в локальной сети) ?
У меня на 200 с лишним юзеров пашет целерон 1,8 с 512МБ озу..
--
np: silence
А всё таки насчёт цисок.. прост оради спортивного интереса хотелось бы попрбоовать выбрать модель..а там мож и купят. :-) В общем присмотрел себе парочку... только вот в описании что-то не вижу netflow. Речь идёт об Сisco 1710 Security Access Router и Cisco 1711 and 1712 Security Access Routers. Вопрос - все ли циски умеют нетфлоу..или тоже не все?
привет. поставили такую задачу - учитывать время работы пользователя при при его LogIn в систему и до самого его LogOff. Т.е. начальство хочет знать, сколько человек работает часов в день, в неделю, в мес... что есть: на сервере крутится самба на клиентах WinXP какие есть предложения или готовые продукты? ЗЫ: а хлопцы наши уже собираются только для этих целей поставить домен виндовый и снести самбу... :( ЗЫЫ: где-то прочитал, что в самбе нельзя с пол-штыка отловить LogOff... только LogOn... это верно? а то бы все свелось к парсингу логов самбы для этой машины... ЗЫЫЫ: где то слышал что есть целые написанные комплексы ПО, которые отслеживают даже сколько раз пользователь ребутился... -- С уважением, Макс.
On Mon, 09 Jan 2006 10:59:59 +0300 Anton Gorlov wrote: > В общем присмотрел себе парочку... только вот в описании > что-то не вижу netflow. Речь идёт об Сisco 1710 Security > Access Router и Cisco 1711 and 1712 Security Access Routers. > Вопрос - все ли циски умеют нетфлоу..или тоже не все? По-моему, это тот случай, когда не в лист рассылки надо обращаться, а к "золотому" партнёру Cisco, а именно, http://www.amt.ru/ Обращайтесь в их тех. поддержку - расскажут, научат. Только чётко изложите свою задачу. Если захотите, личным письмом сообщу Вам пару имён, действительно, золотых специалистов. -- С уважением, С.С.Скулаченко
Sergey S. Skulachenko пишет: >>В общем присмотрел себе парочку... только вот в описании >>что-то не вижу netflow. Речь идёт об Сisco 1710 Security >>Access Router и Cisco 1711 and 1712 Security Access Routers. >>Вопрос - все ли циски умеют нетфлоу..или тоже не все? > По-моему, это тот случай, когда не в лист рассылки надо > обращаться, да подумалось что может народ знает. :-) > а к "золотому" партнёру Cisco, а именно, > http://www.amt.ru/ > Обращайтесь в их тех. поддержку - расскажут, научат. Только > чётко изложите свою задачу. Правильно поставленный вопрос - ключ к успеху! > Если захотите, личным письмом сообщу > Вам пару имён, действительно, золотых специалистов. давайте на всякий случай.. вдруг пригодится..хотя сначала такие попытаюсь через переднюю дверь войти -- np: L'Ame Immortelle - Ich Gab Dir Alles
Maks Re пишет:
> поставили такую задачу - учитывать время работы пользователя при при
> его LogIn в систему и до самого его LogOff. Т.е. начальство хочет
> знать, сколько человек работает часов в день, в неделю, в мес...
>
> на клиентах WinXP
С помощью групповых политик (gpedit.msc) можно задать списки программ,
выполняющихся при startup/shutdown машины и logon/logoff юзера. Несложно
написать программу/скрипт (например с использованием wget для win32),
при запуске открывающую определенный http-адрес. По этому адресу будет
слушать серверный скрипт, заполняющий базу. Схема реально рабочая, но
нужно продумывать детали учета, чтобы защититься от возможных "левых"
запусков на клиентах.
--
С уважением,
Павел Усищев
> С помощью групповых политик (gpedit.msc) можно задать списки программ, > выполняющихся при startup/shutdown машины и logon/logoff юзера. применять груповые политики ради только списка выполняемых приложений - тяжеловато, не находите? в этом случае вы наверняка согласитель, что простое использование политики также справятся с поставленой задачей (*.pol в netlogon`e) > Несложно > написать программу/скрипт (например с использованием wget для win32), > при запуске открывающую определенный http-адрес. По этому адресу будет > слушать серверный скрипт, заполняющий базу. Схема реально рабочая, но > нужно продумывать детали учета, чтобы защититься от возможных "левых" > запусков на клиентах. уже интересней... пойду обдумывать, коли других средств не обнарудится. -- С уважением, Макс.
Hello Maks, Monday, January 9, 2006, 1:32:59 PM, you wrote: MR> привет. MR> поставили такую задачу - учитывать время работы пользователя при при MR> его LogIn в систему и до самого его LogOff. Т.е. начальство хочет MR> знать, сколько человек работает часов в день, в неделю, в мес... MR> что есть: MR> на сервере крутится самба MR> на клиентах WinXP MR> какие есть предложения или готовые продукты? MR> ЗЫ: а хлопцы наши уже собираются только для этих целей поставить домен MR> виндовый и снести самбу... :( MR> ЗЫЫ: где-то прочитал, что в самбе нельзя с пол-штыка отловить MR> LogOff... только LogOn... это верно? а то бы все свелось к парсингу MR> логов самбы для этой машины... MR> ЗЫЫЫ: где то слышал что есть целые написанные комплексы ПО, которые MR> отслеживают даже сколько раз пользователь ребутился... http://www.statwin.ru/ -- Best regards, Беляев mailto:w_n_b@mail.ru
понеділок 09 січень 2006 10:32, Maks Re Ви написали: > привет. > > поставили такую задачу - учитывать время работы пользователя при при > его LogIn в систему и до самого его LogOff. Т.е. начальство хочет > знать, сколько человек работает часов в день, в неделю, в мес... > Довольно странный способ учёта... А если комп на ночь включеным оставлять будут? Или первый приходящий включает все компы в комнате? > что есть: > на сервере крутится самба > на клиентах WinXP > > какие есть предложения или готовые продукты? > > ЗЫ: а хлопцы наши уже собираются только для этих целей поставить домен > виндовый и снести самбу... :( > ЗЫЫ: где-то прочитал, что в самбе нельзя с пол-штыка отловить > LogOff... только LogOn... это верно? а то бы все свелось к парсингу > логов самбы для этой машины... > > ЗЫЫЫ: где то слышал что есть целые написанные комплексы ПО, которые > отслеживают даже сколько раз пользователь ребутился... > > > -- > С уважением, > Макс. -- С уважением, Сергей Полковников
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
В сообщении от 9 Январь 2006 10:32 Maks Re написал:
> привет.
>
> поставили такую задачу - учитывать время работы пользователя при при
> его LogIn в систему и до самого его LogOff. Т.е. начальство хочет
> знать, сколько человек работает часов в день, в неделю, в мес...
>
Хм, а если такой вариант:
человек пришёл, включил комп, грузанул форточки, открыл (или автооткрылось)
окошко с двумя кнопочками - "Я пришол" и "Я ушол", или ответственное лицо,
которое будет выполнять теже действия.
человек будет сам заинтересован в введении правдивой информации и вовремя,
после 2-3 раз "забытия" народ научится :)
Так что не вижу тут смысла городить чтото с квадратными колёсами.
А от действий типа "Вась, у мя такойто логи и пароль - введи за меня" не
застрахована ниодна считалка :)
- --
Best regards,
Vladislav Bondarenko <admin<кусь>sumy.in.ua>
ICQ 139376338; RLU 303694
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.1 (GNU/Linux)
iD8DBQFDw4k1ZCG2I87vuxURAoVmAJ9jvn++mGlJZw9D5kjSnxgf2wW1MgCginim
UtkffdW7505tw9Ee/5n3VK8=
=Opc0
-----END PGP SIGNATURE-----
Привет, коллеги! Чем лучше мерять динамику нагрузки на сервер (CPU, память, сеть)? Знаю только про Zabbix. -- С уважением, Артём. OOО "СЕМА.РУ" ************ In the future, you're going to get computers as prizes in breakfast cereals. You'll throw them out because your house will be littered with them.
кто-нить подскажет, где можно разжиться патчем для ppp-2.4.2, который называется chapms-strip-domain ? -- ПКБ Акустика Мерзляков Е.А. icq #115657846
"Artem K. Jouravsky" <tema@sema.ru> writes:
> Чем лучше мерять динамику нагрузки на сервер (CPU, память, сеть)?
> Знаю только про Zabbix.
ИМХО, Zabbix не совсем для измерения динамики загрузки (сильно правда не
смотрел). Если знаете, что такое Zabbix, то есть ещё Nagios (даже в
дистрибутиве) - из той же оперы.
Есть ещё Cfengine (в дистрибутиве/сизифе нет) - немного из другой оперы :-)
Если надо что попроще (как обычно бывает), то даже с ходу не скажу, не
сталкивался.
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
В сообщении от 18 Январь 2006 15:43 Artem K. Jouravsky написал:
> Привет, коллеги!
>
> Чем лучше мерять динамику нагрузки на сервер (CPU, память, сеть)?
> Знаю только про Zabbix.
hotsanic?
- --
Best regards,
Vladislav Bondarenko <admin<кусь>sumy.in.ua>
ICQ 139376338; RLU 303694
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.1 (GNU/Linux)
iD8DBQFDz5RTZCG2I87vuxURAkP8AJ98jnH5+ioKN6+NCWCvAfuSwPIjigCgvKOu
n1FEEyTO9IXPPxmgq4UzILo=
=8fPx
-----END PGP SIGNATURE-----
Доброго времени суток, уважаемые! Подскажите, пожалуйста, кто что знает, у кого какой опыт. Необходимо соединить сетью несколько зданий. Расстояние между ними в пределах трехсот-четырехсот метров. Нужно подобрать кабель с пропускной способностью не менее 10 Мбит/с, который можно монтировать при температурах -30... -40 градусов (прокладка по воздуху) и который держал бы температуру -65. Ничего, кроме 10Base5 в голову не приходит, но вот какую марку кабеля выбрать? Посоветуйте, плз. Оптоволокно не предлагать -- прохладно на улице. -- С уважением, Акулов Захар Валерьевич, начальник отдела ИТ ООО "Фирма Макс", г. Новый Уренгой JID:hozzzar@jabber.ttn.ru UIN:205051758
Artem K. Jouravsky пишет: > Чем лучше мерять динамику нагрузки на сервер (CPU, память, сеть)? > Знаю только про Zabbix. Можно попробовать собирать через collectd (http://verplant.org/collectd/, есть в бэкпортах М24), он пишет в rrd-базу, визуализацию делать через rrd-graph. -- С уважением, Павел Усищев
On Thu, 19 Jan 2006 23:05:03 +0500
hozzzar <hozzzar@mail.ru> wrote:
> Посоветуйте, плз. Оптоволокно не предлагать -- прохладно на
> улице.
раз не волокно, тогда можно предложить классику - военный кабель П-294
__
Anatoly Romashkin
Nab.Chelny ALTLinux maillist
а почему "стекло" не?
есть некоторые (на моей дырявой памяти) могущие работать с минусом...
и даже большим (-50 точно), вот насколько дешевле....
при условии оптических конверторов за на 10М за копейки, получается
хорошее решение... только вот кобель оствлось выбрать...
On 1/19/06, Anatoly Romashkin <alm@n-chelny.ru> wrote:
> On Thu, 19 Jan 2006 23:05:03 +0500
> hozzzar <hozzzar@mail.ru> wrote:
>
> > Посоветуйте, плз. Оптоволокно не предлагать -- прохладно на
> > улице.
> раз не волокно, тогда можно предложить классику - военный кабель П-294
>
> __
> Anatoly Romashkin
> Nab.Chelny ALTLinux maillist
>
>
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins
>
--
С уважением,
Макс.
В сообщении от Пятница 20 Январь 2006 00:23 Sergiy Guminilovych
написал(a):
>
> будут проблемы в сырую погоду, ставьте оптику, оно того стоит
> забудете про проблемы с грозами
Тогда посоветуйте, какую? Существуют ли оптические кабели,
которые можно монтировать в подобных температурных условиях?
Я планировал проложить оптокабель в подземном канале, но эти
работы можно будет вести только летом, а сейчас почву только
тротилом взрывать. Так что я хотел кинуть времянку по воздуху.
Радиомодемы тоже не катят -- мы находимся в промзоне,
зашумленность высокая, да и GSM опасаюсь перекрыть... А
проверять это на месте за свои бабки неохота.
Задача же теперь поставлена -- "срочно", т. е. я должен в
ближайшее время хотя бы представить проект. А у меня даже конь
не валялся. И из идей -- только стандартный ethernet и модемная
выделенка :)
--
С уважением,
Акулов Захар Валерьевич,
начальник отдела ИТ ООО "Фирма Макс",
г. Новый Уренгой
JID:hozzzar@jabber.ttn.ru
UIN:205051758
http://www.sonet.ru/catalogue.html?catalogue_goods_CurrentElement=2643&CurrentVendor=0 http://www.sonet.ru/catalogue.html?catalogue_goods_CurrentElement=2313&CurrentVendor=0 во что нашел, от -60 до +70 инсталяция только при температурах повыше набо полагать... можно взять самонесущий и на столбики... а инсталяцию - в помещениях при +0 и...
В сообщении от Пятница 20 Январь 2006 00:50 Maks Re написал(a):
> http://www.sonet.ru/catalogue.html?catalogue_goods_CurrentElem
>ent=2643&CurrentVendor=0
> http://www.sonet.ru/catalogue.html?catalogue_goods_CurrentElem
>ent=2313&CurrentVendor=0
Большая пасиба! :)
Вопрос снят.
--
С уважением,
Акулов Захар Валерьевич,
начальник отдела ИТ ООО "Фирма Макс",
г. Новый Уренгой
JID:hozzzar@jabber.ttn.ru
UIN:205051758
> Большая пасиба! :)
>
> Вопрос снят.
>
только не забывайте, что это только малая часть продукции, которая может быть...
соверую обратиться к вашим любимым вендорам, вернее их представительствам в РФ.
--
С уважением,
Макс.
В сообщении от Четверг 19 Январь 2006 22:52 Pavel Usischev написал(a):
> Можно попробовать собирать через collectd
> (http://verplant.org/collectd/, есть в бэкпортах М24), он пишет в
> rrd-базу, визуализацию делать через rrd-graph.
cacti: все уже сделано
--
Mike Lykov
ISP Samtelecom, Administrator
On Fri, 20 Jan 2006 00:42:21 +0500
hozzzar <hozzzar@mail.ru> wrote:
> В сообщении от Пятница 20 Январь 2006 00:23 Sergiy Guminilovych
> написал(a):
> >
> > будут проблемы в сырую погоду, ставьте оптику, оно того стоит
> > забудете про проблемы с грозами
>
> Тогда посоветуйте, какую? Существуют ли оптические кабели,
> которые можно монтировать в подобных температурных условиях?
>
> Я планировал проложить оптокабель в подземном канале, но эти
> работы можно будет вести только летом, а сейчас почву только
> тротилом взрывать. Так что я хотел кинуть времянку по воздуху.
> Радиомодемы тоже не катят -- мы находимся в промзоне,
> зашумленность высокая, да и GSM опасаюсь перекрыть... А
> проверять это на месте за свои бабки неохота.
>
> Задача же теперь поставлена -- "срочно", т. е. я должен в
> ближайшее время хотя бы представить проект. А у меня даже конь
> не валялся. И из идей -- только стандартный ethernet и модемная
> выделенка :)
>
Могу предложить Радио-ethernet.
Ставите 2 радиокарточки и всё. Правда придётся делать внешние
антены. А это уже нарушение законодательства.
Но в промзоне думаю это не актуально.
--
With kindest regards, pvs.
возникла необходимость сделать прозрачный редирект клиентов локалки на прокси сервер провайдера. схема такая: | +----------+ +------------+ +----------+ LAN |--| мой шлюз |--| шлюз прова |--+---| интернет | | +----------+ +------------+ | +----------+ | | +------+-------+ | | прокси прова |--+ +--------------+ хочется, чтобы клиент из локальной сети ходил в интернет через прокси провайдера не подозревая об этом (прозрачный прокси). прокси сервер провайдера поддерживает режим прозрачного проксирования. пробовал сделать так: LAN - внутренняя сеть (192.168.0.0/24) PPROXY - ip адрес прокси сервера провайдера iptables -t nat -A PREROUTING -s $LAN -p tcp --dport 80 -j DNAT --to-destination $PPROXY iptables -t nat -A PREROUTING -s $LAN -p tcp --dport 80 -j REDIRECT --to-ports 3128 данный вариант не сработал может есть у кого-нить идея как это сделать? -- ПКБ Акустика Мерзляков Е.А. icq #115657846
В сообщении от Четверг 26 Январь 2006 14:09 Мерзляков Евгений Анатольевич написал(a): > данный вариант не сработал > может есть у кого-нить идея как это сделать? Почитать документацию? Здесь, например: http://www.linuxcenter.ru/lib/articles/networking/ -- С уважением, Акулов Захар Валерьевич, начальник отдела ИТ ООО "Фирма Макс", г. Новый Уренгой JID:hozzzar@jabber.ttn.ru UIN:205051758
Доброго времени суток. Имеется PDC на самбе, на той же машине CUPS. Проблема следующая: когда с некоторых (?!) машин с WinXP посылается что-то на печать, оно иногда (?!) не доходит до принтера. В капсовых логах пусто, в очереди на машине с капсом - тоже. При этом виндовые документы эти документы видят заспуленными. Откуда ноги могут расти? -- WBR, CyberSkunk aka dRuNk Ph!ZiK
On Thu, Jan 26, 2006 at 11:09:18PM +0300, Olaf Portvineson wrote: > Имеется PDC на самбе, на той же машине CUPS. Проблема > следующая: когда с некоторых (?!) машин с WinXP посылается > что-то на печать, оно иногда (?!) не доходит до принтера. В > капсовых логах пусто, в очереди на машине с капсом - тоже. При > этом виндовые документы эти документы видят заспуленными. > Откуда ноги могут расти? Состояние принтера not ready, подробности в логах samba при debug=2/3/+ или то, что форточки по каким-то своим причинам и не пытаются сливать свой спул на samba/cups? -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/
Что-то глючит меня с утра: никак не втуплю, как запустить демон от имени определённой группы? Более конкретно, нужно чтобы файлы, которые пишет syslog (syslog-ng точнее), имели группу adm и маску 640 (группе adm позволено читать логи). Ну, umask в init-скрипте прописать я могу, а как группу сменить?
Есть ADSL-модем в инет. Есть локалка. Есть два-три-пять обычных компов, хабы, провода. Задача: собрать из этих компов гейт в инет для локальной сети. Но не простой, а "очень надежный". Т.е., например, если комьпютер, который осуществляет гейтование, вдруг сломается (на него упадет рояль, в розетке появится 10КВ, просто террористическая атака, или банально зависнет), то локальная сеть этого не должна заметить. Функции гейта должны плавно перейти на другую машину. Такое возможно? Куда копать?
Alexei V. Mezin пишет:
>
> Есть ADSL-модем в инет. Есть локалка. Есть два-три-пять обычных компов,
> хабы, провода. Задача: собрать из этих компов гейт в инет для локальной
> сети. Но не простой, а "очень надежный". Т.е., например, если комьпютер,
> который осуществляет гейтование, вдруг сломается (на него упадет рояль,
> в розетке появится 10КВ, просто террористическая атака, или банально
> зависнет), то локальная сеть этого не должна заметить. Функции гейта
> должны плавно перейти на другую машину.
>
> Такое возможно? Куда копать?
Плавно - врядли, хотя бы дискретно^W резко. :)
По делу: Купи ADSL-маршрутизатор.
Alexei V. Mezin пишет: > > Есть ADSL-модем в инет. Есть локалка. Есть два-три-пять обычных > компов, хабы, провода. Задача: собрать из этих компов гейт в инет для > локальной сети. Но не простой, а "очень надежный". Т.е., например, > если комьпютер, который осуществляет гейтование, вдруг сломается (на > него упадет рояль, в розетке появится 10КВ, просто террористическая > атака, или банально зависнет), то локальная сеть этого не должна > заметить. Функции гейта должны плавно перейти на другую машину. > > Такое возможно? Куда копать? Кластер. Пример: http://www.netup.ru/articles.php?n=13 drbd - синхронизация. heartbeat - отслеживание работоспособности и подьем сервисов. -- Anton Kvashin
Anton Kvashin пишет:
>> Такое возможно? Куда копать?
>
> Кластер. Пример: http://www.netup.ru/articles.php?n=13
>
> drbd - синхронизация.
> heartbeat - отслеживание работоспособности и подьем сервисов.
>
Спасибо. Направление поиска теперь понятно. Оказывается, нет ничего
невозможного :)
Чем можно мониторить канал до провайдера? На предмет времени отклика? Жив/не жив, упала скорость ниже указанного уровня. Сигализировать об этом в почту? M2.4 2.4.26-std-smp-alt12 -- Salavat Yarmukhametov Jabber salik@jabber.ru ICQ 21144441
Здравствуйте. Вы писали 13 февраля 2006 г., 16:37:36: SY> Чем можно мониторить канал до провайдера? На предмет времени SY> отклика? Жив/не жив, упала скорость ниже указанного уровня. SY> Сигализировать об этом в почту? M2.4 2.4.26-std-smp-alt12 nagios? -- С уважением, Dank
Salavat Yarmukhametov пишет:
> Чем можно мониторить канал до провайдера? На предмет времени
> отклика? Жив/не жив, упала скорость ниже указанного уровня.
> Сигализировать об этом в почту? M2.4 2.4.26-std-smp-alt12
mtr
--
np: silence
On Пнд, Фев 13, 2006 at 05:16:06 +0200 Dank Bagryantsev wrote:
> Здравствуйте.
>
> Вы писали 13 февраля 2006 г., 16:37:36:
>
> SY> Чем можно мониторить канал до провайдера? На предмет времени
> SY> отклика? Жив/не жив, упала скорость ниже указанного уровня.
> SY> Сигализировать об этом в почту? M2.4 2.4.26-std-smp-alt12
>
> nagios?
Оно умеет собирать статистику по трафику и рисовать графики?
--
WBR,
Maxim Bodyansky
Maxim Bodyansky wrote:
>> SY> Чем можно мониторить канал до провайдера? На предмет времени
>> SY> отклика? Жив/не жив, упала скорость ниже указанного уровня.
>> SY> Сигализировать об этом в почту? M2.4 2.4.26-std-smp-alt12
>>
>> nagios?
>
>Оно умеет собирать статистику по трафику и рисовать графики?
>
>
>
Может тогда zabbix? Вроде все, что нужно умеет и графики у него красивые :)
Mon, Feb 13, 2006 at 06:16:15PM +0300, Anton Gorlov написал(а):
> Salavat Yarmukhametov пишет:
> > Чем можно мониторить канал до провайдера? На предмет времени
> > отклика? Жив/не жив, упала скорость ниже указанного уровня.
> > Сигализировать об этом в почту? M2.4 2.4.26-std-smp-alt12
>
> mtr
хм. а как он может сигнализировать о том что линк упал? время отклика
больше чем требуется? писать куда-то статистику?
--
Salavat Yarmukhametov
Jabber salik@jabber.ru
ICQ 21144441
Mon, Feb 13, 2006 at 05:37:07PM +0200, Andrew Kornilov написал(а):
> Maxim Bodyansky wrote:
>
> >> SY> Чем можно мониторить канал до провайдера? На предмет времени
> >> SY> отклика? Жив/не жив, упала скорость ниже указанного уровня.
> >> SY> Сигализировать об этом в почту? M2.4 2.4.26-std-smp-alt12
> >>
> >> nagios?
> >
> >Оно умеет собирать статистику по трафику и рисовать графики?
> >
> >
> >
> Может тогда zabbix? Вроде все, что нужно умеет и графики у него красивые :)
да мне графики собственно - дело второстепенное. нужно получить сигнал
(mail) + лог для разбора что упал, время отклика превысило допустимое у
канала до провайдера. сколько времени лежал. и т.п.
--
Salavat Yarmukhametov
Jabber salik@jabber.ru
ICQ 21144441
В сообщении от 13 февраля 2006 18:24 Maxim Bodyansky написал(a): > > nagios? > > Оно умеет собирать статистику по трафику и рисовать графики? Ему это совершенно незачем. Для этого есть smnp и mrtg. Хотя, помнится мне, что-то nagios умел рисовать -- With best regards Eugene A. Suchkov (a.k.a CityHawk) JID suchkoff@jabber.ru http://suchkoff.livejournal.com
Mon, Feb 13, 2006 at 05:37:36PM +0300, Salavat Yarmukhametov написал(а):
> Чем можно мониторить канал до провайдера? На предмет времени
> отклика? Жив/не жив, упала скорость ниже указанного уровня.
> Сигализировать об этом в почту? M2.4 2.4.26-std-smp-alt12
немного перефразирую вопрос - кто как отслеживает падение канала до
провайдера?
Предполагается, что машина имеет альтернативную связь с
внешним миром - т.е. письмо о проблемах от системы дойдёт. И чтобы потом
можно было посмотреть - сколько времени (от и до) канал лежал? У какого
процента пакетов превысилось время отклика за определённый период?
--
Salavat Yarmukhametov
Jabber salik@jabber.ru
ICQ 21144441
On Пнд, Фев 13, 2006 at 07:00:08 +0300 Eugene A. Suchkov wrote: > В сообщении от 13 февраля 2006 18:24 Maxim Bodyansky написал(a): > > > > nagios? > > > > Оно умеет собирать статистику по трафику и рисовать графики? > > Ему это совершенно незачем. Для этого есть smnp и mrtg. Тоже мысль :) Знакомый упомянал cricket (http://cricket.sourceforge.net) как переработаную альтернативу mrtg. Кто-нибудь может что сказать об этом? > Хотя, помнится мне, что-то nagios умел рисовать На сайте есть скриншот c гистограмой событий (http://nagios.sourceforge.net/images/screens/big/histogram.jpg) Наверное, это и всё. -- WBR, Maxim Bodyansky
[-- Attachment #1.1: Type: text/plain, Size: 917 bytes --] В сообщении от 13 февраля 2006 19:12 Maxim Bodyansky написал(a): > On Пнд, Фев 13, 2006 at 07:00:08 +0300 Eugene A. Suchkov wrote: > > В сообщении от 13 февраля 2006 18:24 Maxim Bodyansky написал(a): > > > > nagios? > > > > > > Оно умеет собирать статистику по трафику и рисовать графики? > > > > Ему это совершенно незачем. Для этого есть smnp и mrtg. > > Тоже мысль :) > Знакомый упомянал cricket (http://cricket.sourceforge.net) как > переработаную альтернативу mrtg. Кто-нибудь может что сказать об этом? > > > Хотя, помнится мне, что-то nagios умел рисовать > > На сайте есть скриншот c гистограмой событий > (http://nagios.sourceforge.net/images/screens/big/histogram.jpg) > Наверное, это и всё. как у вас все сложно. для мониторинга я как то написал скрипт (в атаче) для проверки жив/нежив, запускается по крону. можно дописать там еще анализ времени отклика для контроля скорости -- Valery V. Inozemtsev [-- Attachment #1.2: tunnel_check --] [-- Type: application/x-shellscript, Size: 2205 bytes --] [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
Salavat Yarmukhametov пишет:
>>> Чем можно мониторить канал до провайдера? На предмет времени
>>> отклика? Жив/не жив, упала скорость ниже указанного уровня.
>>> Сигализировать об этом в почту? M2.4 2.4.26-std-smp-alt12
>>mtr
>
> хм. а как он может сигнализировать о том что линк упал? время отклика
> больше чем требуется? писать куда-то статистику?
пакеты дальше не пойдут..или как у меня- на 1 из узлов потери достигают
порядка 60-95% (стык между ТТК и РСТ)
--
np: silence
Приветствую! Есть ли среди уважаемого сообщества хостеры? Интересует мнение по поводу различных хостинг-панелей, их плюсы-минусы... Будет замечательно, если подскажете ресурсы какие-нибудь (форумы, листы рассылок), гду тусят хостеры... -- WBR, Osipov Andrei
14.02.06, -=DiVeR=-<diver666@gmail.com> написал(а):
> Мы используем: hSphere - www.psoft.net разрабатывается нашими, суппорт
> рускоязичный :)
Все это конечно хорошо... А если опен-сорсные? Например ISPConfig
кто-нить пробовал? Или нет смысла использовать открытые разработки для
реального хостинга?
Andrei Osipov wrote: > Приветствую! > Есть ли среди уважаемого сообщества хостеры? Интересует мнение по > поводу различных хостинг-панелей, их плюсы-минусы... > Будет замечательно, если подскажете ресурсы какие-нибудь (форумы, > листы рассылок), гду тусят хостеры... http://dedic.ru/ -- Anton Kvashin
Salavat Yarmukhametov wrote:
> Mon, Feb 13, 2006 at 05:37:36PM +0300, Salavat Yarmukhametov написал(а):
>
>> Чем можно мониторить канал до провайдера? На предмет времени
>> отклика? Жив/не жив, упала скорость ниже указанного уровня.
>> Сигализировать об этом в почту? M2.4 2.4.26-std-smp-alt12
>
>
> немного перефразирую вопрос - кто как отслеживает падение канала до
> провайдера?
Nagios. %) Мониторинг интерфейса (UP/DOWN) если это показатель наличия
канала ну и ping дальнего конца с анализом результатов. Там же пишутся
логи событий, генерятся отчеты о доступности хостов/сервисов, отсылаются
уведомления в почту/jabber/pager о всех, случившихся, событиях.
Графики рисуются с помощью стороннего скрипта nagiostat (ищется на
www.nagiosexchange.org) и RRD. Через веб показываются тем же скриптом.
--
WBR, Dmitry Lebkov
В сообщении от 14 февраля 2006 14:42 Dmitry Lebkov написал(a): > Nagios. %) Мониторинг интерфейса (UP/DOWN) если это показатель наличия > канала ну и ping дальнего конца с анализом результатов. Там же пишутся > логи событий, генерятся отчеты о доступности хостов/сервисов, отсылаются > уведомления в почту/jabber/pager о всех, случившихся, событиях. > довольно таки интересная и полезная штучка. > Графики рисуются с помощью стороннего скрипта nagiostat (ищется на > www.nagiosexchange.org) и RRD. А вот на данный сервак мне прокси запретил доступ: данный сайт относиться к запрещённым - порнография ... ;) Он у меня отработал по ключегому слову sex ... ;) > Через веб показываются тем же скриптом. занятно ... ;) -- С уважением, Шенцев Алексей Владимирович (AShen)
Mon, Feb 13, 2006 at 07:28:54PM +0300, Valery V. Inozemtsev написал(а):
> В сообщении от 13 февраля 2006 19:12 Maxim Bodyansky написал(a):
> > On Пнд, Фев 13, 2006 at 07:00:08 +0300 Eugene A. Suchkov wrote:
> > > В сообщении от 13 февраля 2006 18:24 Maxim Bodyansky написал(a):
> > > > > nagios?
> > > >
> > > > Оно умеет собирать статистику по трафику и рисовать графики?
> > >
> > > Ему это совершенно незачем. Для этого есть smnp и mrtg.
> >
> > Тоже мысль :)
> > Знакомый упомянал cricket (http://cricket.sourceforge.net) как
> > переработаную альтернативу mrtg. Кто-нибудь может что сказать об этом?
> >
> > > Хотя, помнится мне, что-то nagios умел рисовать
> >
> > На сайте есть скриншот c гистограмой событий
> > (http://nagios.sourceforge.net/images/screens/big/histogram.jpg)
> > Наверное, это и всё.
>
> как у вас все сложно. для мониторинга я как то написал скрипт (в атаче) для
> проверки жив/нежив, запускается по крону. можно дописать там еще анализ
> времени отклика для контроля скорости
>
ЗдОрово. Как модифицировать скрипт, чтобы сообщение отсылалось только в
том случае, если хотя бы один из линков в дауне? А если все работают - не
отсылалось ничего?
--
Salavat Yarmukhametov
Jabber salik@jabber.ru
ICQ 21144441
Tue, Feb 14, 2006 at 09:42:19PM +1000, Dmitry Lebkov написал(а):
> Salavat Yarmukhametov wrote:
> >Mon, Feb 13, 2006 at 05:37:36PM +0300, Salavat Yarmukhametov написал(а):
> >
> >> Чем можно мониторить канал до провайдера? На предмет времени
> >> отклика? Жив/не жив, упала скорость ниже указанного уровня.
> >> Сигализировать об этом в почту? M2.4 2.4.26-std-smp-alt12
> >
> >
> >немного перефразирую вопрос - кто как отслеживает падение канала до
> >провайдера?
>
> Nagios. %) Мониторинг интерфейса (UP/DOWN) если это показатель наличия
> канала ну и ping дальнего конца с анализом результатов. Там же пишутся
> логи событий, генерятся отчеты о доступности хостов/сервисов, отсылаются
> уведомления в почту/jabber/pager о всех, случившихся, событиях.
>
> Графики рисуются с помощью стороннего скрипта nagiostat (ищется на
> www.nagiosexchange.org) и RRD. Через веб показываются тем же скриптом.
Спасибо. Посмотрел в сторону Nagios, буду читать доки. Мне пока нужен
просто сигнал в почту - упал канал (вроде как в скрипте shrek@ выше по треду).
--
Salavat Yarmukhametov
Jabber salik@jabber.ru
ICQ 21144441
[-- Attachment #1: Type: text/plain, Size: 805 bytes --] > > > На сайте есть скриншот c гистограмой событий > > > (http://nagios.sourceforge.net/images/screens/big/histogram.jpg) > > > Наверное, это и всё. > > > > как у вас все сложно. для мониторинга я как то написал скрипт (в атаче) > > для проверки жив/нежив, запускается по крону. можно дописать там еще > > анализ времени отклика для контроля скорости > > ЗдОрово. Как модифицировать скрипт, чтобы сообщение отсылалось только в > том случае, если хотя бы один из линков в дауне? А если все работают - не > отсылалось ничего? там логика такая: три канала (пара линков для каждого) если оба линка из пары в дауне - отсылаем уведомление если оба линка поднялись - отсылаем уведомление проверять канал по одному линку... как бы это сказать... в общем могут быть ложные срабатывания -- Valery V. Inozemtsev [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
Tue, Feb 14, 2006 at 03:35:00PM +0300, Valery V. Inozemtsev написал(а):
> > > > На сайте есть скриншот c гистограмой событий
> > > > (http://nagios.sourceforge.net/images/screens/big/histogram.jpg)
> > > > Наверное, это и всё.
> > >
> > > как у вас все сложно. для мониторинга я как то написал скрипт (в атаче)
> > > для проверки жив/нежив, запускается по крону. можно дописать там еще
> > > анализ времени отклика для контроля скорости
> >
> > ЗдОрово. Как модифицировать скрипт, чтобы сообщение отсылалось только в
> > том случае, если хотя бы один из линков в дауне? А если все работают - не
> > отсылалось ничего?
>
> там логика такая:
> три канала (пара линков для каждого)
> если оба линка из пары в дауне - отсылаем уведомление
> если оба линка поднялись - отсылаем уведомление
> проверять канал по одному линку... как бы это сказать... в общем могут быть
> ложные срабатывания
Спасибо за разъяснения.
--
Salavat Yarmukhametov
Jabber salik@jabber.ru
ICQ 21144441
Здравствуйте, sysadmins. нужна консультация по поводу создания сети вопрос: потянет ли компик на базе одноплатной ЭВМ(Intel_440MX_2X100Mbit_Ethernet_CPU_CeleronM_300Mhz_RAM_64Mb_HDD_10Gb) функции маршрутизатора, брандмауэра(iptables с nat) и системы обнаружения вторжений(snort в легкой конфигурации) для сетки из 30 компов с ещё одним серваком(samba, web, mysql)? везде АЛМ2.4+updates ____________________________ С уважением, системный администратор СГТУ, каф."Системотехника" AND ЗАО "Тесар-СО", Егоров Стас ICQ:270805968 mailto:rs@sstu.ru
В сообщении от Четверг 16 Февраль 2006 13:32 rs написал(a):
> ЭВМ(Intel_440MX_2X100Mbit_Ethernet_CPU_CeleronM_300Mhz_RAM_64Mb_HDD_10Gb)
> функции маршрутизатора, брандмауэра(iptables с nat) и системы обнаружения
> вторжений(snort в легкой конфигурации)
IMHO памяти бы добавить... хотябы до 128.
В сообщении от 16 февраля 2006 08:32 rs написал(a): > Здравствуйте, sysadmins. Привет. > нужна консультация по поводу создания сети > вопрос: потянет ли компик на базе одноплатной > ЭВМ(Intel_440MX_2X100Mbit_Ethernet_CPU_CeleronM_300Mhz_RAM_64Mb_HDD_10Gb) > функции маршрутизатора, брандмауэра(iptables с nat) и системы обнаружения > вторжений(snort в легкой конфигурации) для сетки из 30 компов с ещё одним > серваком(samba, web, mysql)? > везде АЛМ2.4+updates Как уже сказано памяти бы побольше, а так, имхо, потянет, особенно если на него не ставить графическую систему. -- С уважением, Шенцев Алексей Владимирович (AShen)
В сообщении от Четверг 16 Февраль 2006 14:02 rs написал(a):
> нету, память там ноутбучная
Да в принципе-то потянет, главное ничего лишнего запущенным не держать,
впрочем как и установленным.
ALM 2.4 минимум требует 32 метра, рекомендуется 128.
On Thu, 16 Feb 2006 13:39:17 +0800
Прончаков Артем <maniakius@mail.ru> wrote:
> В сообщении от Четверг 16 Февраль 2006 13:32 rs написал(a):
> > ЭВМ(Intel_440MX_2X100Mbit_Ethernet_CPU_CeleronM_300Mhz_RAM_64Mb_HDD_10Gb)
> > функции маршрутизатора, брандмауэра(iptables с nat) и системы обнаружения
> > вторжений(snort в легкой конфигурации)
> IMHO памяти бы добавить... хотябы до 128.
у меня шлюз работал сделанный из Pentium 200 и 32 метров озу :)
на нем был Freenibs с радиусом, pptpd, apache (для просмотра клиентами
статистики) и файловый сервер Proftpd
все это хозяйство работало под RH 7.3 с ядром 2.4
--
ПКБ Акустика
Мерзляков Е.А. icq #115657846
Здравствуйте, вопрос в продолжение темы: я хочу сделать на роутере так чтобы внешние коннекты на 80 и 21 порты роутера переходили на внутренний сервак(веб-сервер и фтп-сервер у меня на внутреннем сервере). для этого надо настраивать dnat в iptables? ____________________________ С уважением, системный администратор СГТУ, каф."Системотехника" AND ЗАО "Тесар-СО", Егоров Стас ICQ:270805968 mailto:rs@sstu.ru
On Сбт, Фев 18, 2006 at 09:38:26 +0300 rs wrote: > Здравствуйте, > > вопрос в продолжение темы: > я хочу сделать на роутере так чтобы внешние коннекты на 80 и 21 порты > роутера переходили на внутренний сервак(веб-сервер и фтп-сервер у меня > на внутреннем сервере). для этого надо настраивать dnat в iptables? Тут описание: [http://www.opennet.ru/base/net/dnat_linux.txt.html] -- WBR, Maxim Bodyansky
Здравствуйте, sysadmins. у нас закрыта внутренняя(СГТУшная) сеть от внешних коннектов, какие есть способы обойти наших админов и вытащить мой сервак для доступа из вне? ____________________________ С уважением, системный администратор СГТУ, каф."Системотехника" AND ЗАО "Тесар-СО", Егоров Стас ICQ:270805968 mailto:rs@sstu.ru
В сообщении от 18 февраля 2006 15:18 rs написал(a):
> Здравствуйте, sysadmins.
>
> у нас закрыта внутренняя(СГТУшная) сеть от внешних коннектов, какие
> есть способы обойти наших админов и вытащить мой сервак для доступа из
> вне?
>
Поставить пива админу и не злоупотреблять доверием
--
/vip
В сообщении от Суббота 18 Февраль 2006 14:38 rs написал(a):
> я хочу сделать на роутере так чтобы внешние коннекты на 80 и 21 порты
> роутера переходили на внутренний сервак(веб-сервер и фтп-сервер у меня
> на внутреннем сервере). для этого надо настраивать dnat в iptables?
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination
192.168.1.1:80
В сообщении от Понедельник 20 Февраль 2006 05:22 Прончаков Артем написал(a):
> В сообщении от Суббота 18 Февраль 2006 14:38 rs написал(a):
> > я хочу сделать на роутере так чтобы внешние коннекты на 80 и 21 порты
> > роутера переходили на внутренний сервак(веб-сервер и фтп-сервер у меня
> > на внутреннем сервере). для этого надо настраивать dnat в iptables?
>
> iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination
> 192.168.1.1:80
а средствами iproute2 можно такое организовать?
можно пример?
On Mon, Feb 20, 2006 at 08:57:01AM +0200, Serge Kompan wrote: > > > для этого надо настраивать dnat в iptables? > > iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT > > --to-destination 192.168.1.1:80 > а средствами iproute2 можно такое организовать? > можно пример? Для этого надо настраивать DNAT в iptables. Или port forwarding на xinetd, но проще всё-таки первое. iproute2, насколько мне известно, ни при чём. -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/
On Sat, Feb 18, 2006 at 10:22:23PM +0600, Vyatcheslav Perevalov wrote: > > у нас закрыта внутренняя(СГТУшная) сеть от внешних коннектов, > > какие есть способы обойти наших админов и вытащить мой сервак > > для доступа из вне? > Поставить пива админу и не злоупотреблять доверием ...поскольку провешенный на имеющийся снаружи сервер с честным IP туннель (ssh -L/ssh -R или более традиционные средства) всё-таки несложно выпасти и надавать за самодеятельность по рукам. -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/
hi all Оговорюсь сразу - я не профи. В одном дружественном офисе попросили сделать выход в интернет на все 5 имеющихся там машин. Я поставил на 6-ой ALM2.4 и сделал на нём, так как не знал как сделать иначе, вот так: 'echo "1" > /proc/sys/net/ipv4/ip_forward /sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE (eth0 смотрит в инте eth1 - в лок. сеть) если не ошибаюсь, это называется NAT. Все даже заработало, и несколько месяцев все были счастливы и довольны, пока не пришёл непривычно большой счет за траффик, а соответственно возник вопрос, как подсчитать, кто сколько выкушал. Вопрос, собственно, в том, как это сделать - у самого меня опыта такого, к сожалению, нет :( Ах, да - используют web, ftp, mail, icq, skype. -- Artem Zolochevskiy
Artem Zolochevskiy wrote:
> Все даже заработало, и несколько месяцев все были счастливы и довольны,
> пока не пришёл непривычно большой счет за траффик, а соответственно
> возник вопрос, как подсчитать, кто сколько выкушал.
>
> Вопрос, собственно, в том, как это сделать - у самого меня опыта такого,
> к сожалению, нет :(
>
> Ах, да - используют web, ftp, mail, icq, skype.
самый простой способ, вместо NAT использовать прокси и считать его логи
любым доступным способом.
--
У каждого в башке свои тараканы...
[-- Attachment #1: Type: text/plain, Size: 641 bytes --] В сообщении от 2 марта 2006 16:57 Genix написал(a): > Artem Zolochevskiy wrote: > > Все даже заработало, и несколько месяцев все были счастливы и довольны, > > пока не пришёл непривычно большой счет за траффик, а соответственно > > возник вопрос, как подсчитать, кто сколько выкушал. > > > > Вопрос, собственно, в том, как это сделать - у самого меня опыта такого, > > к сожалению, нет :( > > > > Ах, да - используют web, ftp, mail, icq, skype. > > самый простой способ, вместо NAT использовать прокси и считать его логи > любым доступным способом. а может это http://www.nixp.ru/articles/linux_traffic_with_ipcad -- Valery V. Inozemtsev [-- Attachment #2: Type: application/pgp-signature, Size: 191 bytes --]
Valery V. Inozemtsev wrote:
>>самый простой способ, вместо NAT использовать прокси и считать его логи
>>любым доступным способом.
>
>
> а может это
> http://www.nixp.ru/articles/linux_traffic_with_ipcad
на днях знакомый жаловался, что на большой загрузке у него
проглатывалась (или не вставлялась в базу) часть данных -- вынужден был
перейти на netacct
$ apt-cache search netacct
netacct-mysql - A tool for loging an IP traffic passing throghput interfaces
--
У каждого в башке свои тараканы...
On Чтв, Мар 02, 2006 at 05:32:48 +0300 Genix wrote:
> Valery V. Inozemtsev wrote:
> >>самый простой способ, вместо NAT использовать прокси и считать его логи
> >>любым доступным способом.
> > а может это
> > http://www.nixp.ru/articles/linux_traffic_with_ipcad
> на днях знакомый жаловался, что на большой загрузке у него
> проглатывалась (или не вставлялась в базу) часть данных -- вынужден был
> перейти на netacct
Заставив ipcad брать данные о трафике через ulog, можно избежать проблем с
недосчётом.
--
WBR,
Maxim Bodyansky
Maxim Bodyansky пишет:
> Заставив ipcad брать данные о трафике через ulog, можно избежать проблем с
> недосчётом.
или через ipq
--
np: In Flames - Subterranean - Timeless [stopped]
В сообщении от 2 марта 2006 15:53 Artem Zolochevskiy написал(a): > Все даже заработало, и несколько месяцев все были счастливы и довольны, > пока не пришёл непривычно большой счет за траффик, а соответственно > возник вопрос, как подсчитать, кто сколько выкушал. Сейчас уже наверное не получится. А на будущее - настроить netams и смотреть. -- With best regards Eugene A. Suchkov (a.k.a CityHawk) JID suchkoff@jabber.ru http://suchkoff.livejournal.com
[-- Attachment #1: Type: text/plain, Size: 509 bytes --] On Чтв, 2006-03-02 at 17:32 +0300, Genix wrote: > на днях знакомый жаловался, что на большой загрузке у него > проглатывалась (или не вставлялась в базу) часть данных -- вынужден > был перейти на netacct Посоветуйте знакомому ndsad. Люди говорили, что при большой нагрузке он справляется, а ipcad нет. Peter. [-- Attachment #2: This is a digitally signed message part --] [-- Type: application/pgp-signature, Size: 191 bytes --]
On Thu, Mar 02, 2006 at 02:53:25PM +0200, Artem Zolochevskiy wrote: > Ах, да - используют web, ftp, mail, icq, skype. ipac-ng для NAT; для squid помогает lightsquid -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/
А как посчитать трафик пришедшийся на почту? Т.е. сколько в байтах принято писем, сколько отправлено, у кого сколько это составило? -- С уважением, Шенцев Алексей Владимирович (AShen) E-mail: ashen@nsrz.ru ICQ: 271053845
В сообщении от 9 марта 2006 09:47 Шенцев Алексей Владимирович написал:
> А как посчитать трафик пришедшийся на почту? Т.е. сколько в байтах принято
> писем, сколько отправлено, у кого сколько это составило?
# rpm -qi pflogsumm
Pflogsumm is a log analyzer/summarizer for the Postfix MTA.
Не пойдет?
В сообщении от 9 марта 2006 15:22 kopilo4ka@gmail.com написал(a):
> # rpm -qi pflogsumm
> Pflogsumm is a log analyzer/summarizer for the Postfix MTA.
> Не пойдет?
А ты пробывал им пользоваться? В каком виде он выдаёт инфу? Я пробывал
пользоваться им. Вроде всё подробно пишет, но в таком виде, что просто тонешь
в море инфы.
--
С уважением, Шенцев Алексей Владимирович (AShen)
E-mail: ashen@nsrz.ru
ICQ: 271053845
В сообщении от 9 марта 2006 15:45 Шенцев Алексей Владимирович написал:
> В сообщении от 9 марта 2006 15:22 kopilo4ka@gmail.com написал(a):
> > # rpm -qi pflogsumm
> > Pflogsumm is a log analyzer/summarizer for the Postfix MTA.
> > Не пойдет?
>
> А ты пробывал им пользоваться? В каком виде он выдаёт инфу? Я пробывал
> пользоваться им. Вроде всё подробно пишет, но в таком виде, что просто
> тонешь в море инфы.
У меня сейчас используется, правда я его не читаю.
Помнится там ключики были, какой подробностью формировать отчет.
Вот самое интересное для меня только начало:
Grand Totals
------------
messages
384 received
387 delivered
44 forwarded
3 deferred (5 deferrals)
51 bounced
2100 rejected (84%)
0 reject warnings
0 held
0 discarded (0%)
24122k bytes received
27566k bytes delivered
122 senders
101 sending hosts/domains
73 recipients
25 recipient hosts/domains
Per-Hour Traffic Summary
time received delivered deferred bounced rejected
--------------------------------------------------------------------
0000-0100 15 18 0 0 55
...
В сообщении от 9 марта 2006 16:08 kopilo4ka@gmail.com написал(a): > У меня сейчас используется, правда я его не читаю. +1 ... 8) > Помнится там ключики были, какой подробностью формировать отчет. Кроме формируемых текстовых отчётов мне нужно и графическое или табличное представление, т.е. не мне, а начальству. Кроме этого ещё и разбивка по конкретным юзерам и периодам, с подвидением итогов. -- С уважением, Шенцев Алексей Владимирович (AShen) E-mail: ashen@nsrz.ru ICQ: 271053845
On Thu, Mar 09, 2006 at 06:27:16PM +0300, Шенцев Алексей Владимирович wrote: > > У меня сейчас используется, правда я его не читаю. > > Помнится там ключики были, какой подробностью формировать отчет. > Кроме формируемых текстовых отчётов мне нужно и графическое или > табличное представление, т.е. не мне, а начальству. Кроме этого > ещё и разбивка по конкретным юзерам и периодам, с подвидением > итогов. Это как раз похоже на awstats и подобных. -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/
В сообщении от 9 марта 2006 18:54 Michael Shigorin написал(a):
> Это как раз похоже на awstats и подобных.
Вот сейчас и пытаюсь его заставить считать, не хочет... :[
--
С уважением, Шенцев Алексей Владимирович (AShen)
E-mail: ashen@nsrz.ru
ICQ: 271053845
Здравствуйте! В сообщении от Пятница 03 Март 2006 14:48 Michael Shigorin написал(a): > On Thu, Mar 02, 2006 at 02:53:25PM +0200, Artem Zolochevskiy wrote: > > Ах, да - используют web, ftp, mail, icq, skype. > > ipac-ng для NAT; для squid помогает lightsquid Еще sarg помогает, анализирует логи и выдает в html виде. http://www.sarg-squid.org -- With my best regards to you !! http://rusarchives.ru http://rgantd.ru http://victory.rusarchives.ru SilverFox@rgantd.ru
В сообщении от 10 марта 2006 10:45 Anatoliy Lisjutin написал(a):
> Еще sarg помогает, анализирует логи и выдает в html виде.
> http://www.sarg-squid.org
SARG "тяжёл", lightsquid отрабатывает быстрее и с русским у него всё впорядке
на графиках ... ;)
--
С уважением, Шенцев Алексей Владимирович (AShen)
E-mail: ashen@nsrz.ru
ICQ: 271053845
On Fri, 10 Mar 2006 10:45:14 +0300 Anatoliy Lisjutin wrote: > Здравствуйте! > В сообщении от Пятница 03 Март 2006 14:48 Michael Shigorin написал(a): > > On Thu, Mar 02, 2006 at 02:53:25PM +0200, Artem Zolochevskiy wrote: > > > Ах, да - используют web, ftp, mail, icq, skype. > > > > ipac-ng для NAT; для squid помогает lightsquid > Еще sarg помогает, анализирует логи и выдает в html виде. > http://www.sarg-squid.org Есть еще хорошая тулза, lightsquid называется ... Гораздо лучше Sarg... Размер логов меньше гораздо, функций больше... И в кору не падает так, как Sarg. Смотрите http://lightsquid.sf.net/ -- Best regards, Dmitriy L. Kruglikov .--. Dmitriy.Kruglikov@orionagro.com.ua |@_@ | DKR6-RIPE |!_/ | ICQ# 13047326 // \ \ (| | ) /'\_ _/`\ Powered by Linux \___)=(___/
On Fri, 10 Mar 2006 10:48:13 +0300
Шенцев Алексей Владимирович wrote:
> В сообщении от 10 марта 2006 10:45 Anatoliy Lisjutin написал(a):
> > Еще sarg помогает, анализирует логи и выдает в html виде.
> > http://www.sarg-squid.org
> SARG "тяжёл", lightsquid отрабатывает быстрее и с русским у него всё впорядке
> на графиках ... ;)
Кто бы написал такой же, но для почтовых логов?
Я с автором общался, он не хочет ....
А хорошо бы было :)
Кстати, на lightsquid можно свои шкурки делать, и он тогда гармонично
вписывается в корпоративный портал :)
--
Best regards,
Dmitriy L. Kruglikov .--.
Dmitriy.Kruglikov@orionagro.com.ua |@_@ |
DKR6-RIPE |!_/ |
ICQ# 13047326 // \ \
(| | )
/'\_ _/`\
Powered by Linux \___)=(___/
В сообщении от 10 марта 2006 10:53 Dmitriy L. Kruglikov написал(a): > Кто бы написал такой же, но для почтовых логов? > Я с автором общался, он не хочет .... > А хорошо бы было :) А сам не желаешь ? Или компанию подбить ... ;) > > Кстати, на lightsquid можно свои шкурки делать, и он тогда гармонично > вписывается в корпоративный портал :) Не интересовался этим пока, но про это запомнил. Да, кстати, вроде sarg умеет давать доступ к своим страницам пользователям, выдавая им именно их статистику и только их, а всю только тем кто имеет на это право. Или я ошибаюсь? -- С уважением, Шенцев Алексей Владимирович (AShen) E-mail: ashen@nsrz.ru ICQ: 271053845
On Fri, 10 Mar 2006 11:03:35 +0300 Шенцев Алексей Владимирович wrote: > В сообщении от 10 марта 2006 10:53 Dmitriy L. Kruglikov написал(a): > > Кто бы написал такой же, но для почтовых логов? > > Я с автором общался, он не хочет .... > > А хорошо бы было :) > А сам не желаешь ? Или компанию подбить ... ;) Желаю, но не могу ... :( Не программер я ... Максимум, постановка задачи и алгоритм ... И то ... Но вот шкуру для lightsquid делал .... На это моих мозгов хватило... :) > Да, кстати, вроде sarg умеет > давать доступ к своим страницам пользователям, выдавая им именно их > статистику и только их, а всю только тем кто имеет на это право. Или я > ошибаюсь? Не знаю ... Я долго пользовался Sarg, и с Squid-ом и Rejik-ом их связывал для автоматического ограничения доступа в Инет ... Но Sarg меня разочаровал падениями в кору на больших логах... А доступ к страницам статистики я не ограничивал умышлено, для того, чтобы морально воспитать "порнушников" .... Так как мало кто захочет лазить невесть где, если будет знать, что весь офис будет иметь возможность это увидеть ... Как вариант, формировать .htaccess в каталоге с отчетом пользователя Думаю, lightsquid с этим справится... -- Best regards, Dmitriy L. Kruglikov .--. Dmitriy.Kruglikov@orionagro.com.ua |@_@ | DKR6-RIPE |!_/ | ICQ# 13047326 // \ \ (| | ) /'\_ _/`\ Powered by Linux \___)=(___/
В сообщении от 10 марта 2006 11:30 Dmitriy L. Kruglikov написал(a): > Желаю, но не могу ... :( > Не программер я ... Основной рабочий инструмент программиста - чистый лист бумаги и отточенный карандаш, ну и голова на плечах ... ;) > Максимум, постановка задачи и алгоритм ... И то ... Уже почти пол дела: грамотно поставленная задача 50% успеха решения задачи ... ;) Да ещё и алгоритм, а это уже программирование ... ;) > Но вот шкуру для lightsquid делал .... > На это моих мозгов хватило... :) Моих то же хватило сделать свои design-bootloader & design-bootsplash ... ;) -- С уважением, Шенцев Алексей Владимирович (AShen) E-mail: ashen@nsrz.ru ICQ: 271053845
В сообщении от Пятница 10 Март 2006 10:49 Dmitriy L. Kruglikov написал(a): > On Fri, 10 Mar 2006 10:45:14 +0300 > > Anatoliy Lisjutin wrote: > > Здравствуйте! > > http://www.sarg-squid.org > > Есть еще хорошая тулза, lightsquid называется ... > Гораздо лучше Sarg... > Размер логов меньше гораздо, функций больше... > И в кору не падает так, как Sarg. > Смотрите http://lightsquid.sf.net/ Посмотрю обязательно. Sarg действительно достает падениями на больших логах. Из-за этого логи по неделе режу, а отчет по месяцу надо дать.. -- With my best regards to you !! http://rusarchives.ru http://rgantd.ru http://victory.rusarchives.ru SilverFox@rgantd.ru
On Fri, 10 Mar 2006 11:37:15 +0300 Шенцев Алексей Владимирович wrote: > Основной рабочий инструмент программиста - чистый лист бумаги и отточенный > карандаш, ну и голова на плечах ... ;) > > Максимум, постановка задачи и алгоритм ... И то ... > Уже почти пол дела: грамотно поставленная задача 50% успеха решения > задачи ... ;) Да ещё и алгоритм, а это уже программирование ... ;) Ага .... Точно .... Только я свою последнюю программу написал в 1983 году на языке АП для машины Наири 3.2 ... Скрипты на bash для резервного копирования - не в счет... > > Но вот шкуру для lightsquid делал .... > > На это моих мозгов хватило... :) > Моих то же хватило сделать свои design-bootloader & design-bootsplash ... ;) А у меня своя тема для IceWM .... Ну и что?... Ладно, ближе к телу ... Беремся за статистику для почты на основе lightsquid? Если да, то в личку ... Нечего рассылку засорять :) -- Best regards, Dmitriy L. Kruglikov .--. Dmitriy.Kruglikov@orionagro.com.ua |@_@ | DKR6-RIPE |!_/ | ICQ# 13047326 // \ \ (| | ) /'\_ _/`\ Powered by Linux \___)=(___/
В сообщении от 10 марта 2006 11:44 Anatoliy Lisjutin написал(a):
> Посмотрю обязательно. Sarg действительно достает падениями на больших
> логах. Из-за этого логи по неделе режу, а отчет по месяцу надо дать..
Lightsquid имеется в сизифе.
--
С уважением, Шенцев Алексей Владимирович (AShen)
E-mail: ashen@nsrz.ru
ICQ: 271053845
Доброго времени суток всем. Есть задача: Разрулить трафик с сервера по двум каналам... Быстрому и дешевому ... FTP и WWW в одну сторону, все остальное - в другую... Есть частичное решение: Таблицы созданы, по адресам внутренней сети в них развожу и все работает ... С сервера трафик то же уходит по разным каналам ... Правила на основании маркированных пакетов... Почитайка по адресу http://www.opennet.ru/base/net/iproute2_cebka.txt.html А теперь проблема: Трафик FTP. Как маркировать пакеты для пассивного режима, когда соединение устанавливается на портах с номерами типа 53456 <-> 65434 ??? Могу предложить свой сокращенный вариант степ-бай-степ... То, что у меня реально работает... -- Best regards, Dmitriy L. Kruglikov .--. Dmitriy.Kruglikov@orionagro.com.ua |@_@ | DKR6-RIPE |!_/ | ICQ# 13047326 // \ \ (| | ) /'\_ _/`\ Powered by Linux \___)=(___/
[-- Attachment #1: Type: text/plain, Size: 473 bytes --] * Dmitriy L. Kruglikov <Dmitriy.Kruglikov@> [060325 18:12]: > А теперь проблема: > Трафик FTP. > Как маркировать пакеты для пассивного режима, когда соединение > устанавливается на портах с номерами типа 53456 <-> 65434 ??? Можно попробовать почитать man iptables в районе "conntrack". -- Regards, Alexey I. Froloff AIF5-RIPN, AIF5-RIPE ------------------------------------------- Inform-Mobil, Ltd. System Administrator http://www.inform-mobil.ru/ [-- Attachment #2: Digital signature --] [-- Type: application/pgp-signature, Size: 191 bytes --]
On Mon, 27 Mar 2006 09:23:49 +0400
Alexey I. Froloff wrote:
> * Dmitriy L. Kruglikov <Dmitriy.Kruglikov@> [060325 18:12]:
> > А теперь проблема:
> > Трафик FTP.
> > Как маркировать пакеты для пассивного режима, когда соединение
> > устанавливается на портах с номерами типа 53456 <-> 65434 ???
> Можно попробовать почитать man iptables в районе "conntrack".
>
Все гораздо проще ...
Я думал-думал, и устал ...
А потом придумал такой ход:
Перенаправлять в "быстрый" канал те порты, которые мы точно знаем:
25, 53, 123, 80, 8080, ... и т.д.
А все остальные заворачивать в "дешевый" ...
Таким образом задача может быть решена.
Если у кого есть замечания по такому варианту, буду благодарен.
А если нет, то вечером начну пробовать...
--
Best regards,
Dmitriy L. Kruglikov .--.
Dmitriy.Kruglikov@orionagro.com.ua |@_@ |
DKR6-RIPE |!_/ |
ICQ# 13047326 // \ \
(| | )
/'\_ _/`\
Powered by Linux \___)=(___/
25 марта 2006 19:11, Dmitriy L. Kruglikov написал: > Трафик FTP. > Как маркировать пакеты для пассивного режима, когда соединение > устанавливается на портах с номерами типа 53456 <-> 65434 ??? > Вариант: patch-o-matic-ng http://www.opennet.ru/base/net/linux_link_balance.txt.html -- ABATAPA
On Mon, 27 Mar 2006 11:50:57 +0300
ABATAPA wrote:
> 25 марта 2006 19:11, Dmitriy L. Kruglikov написал:
>
> > Трафик FTP.
> > Как маркировать пакеты для пассивного режима, когда соединение
> > устанавливается на портах с номерами типа 53456 <-> 65434 ???
> >
> Вариант: patch-o-matic-ng
> http://www.opennet.ru/base/net/linux_link_balance.txt.html
Не .... Не катит ...
Я пока еще не разобрался в причинах, но на вскидку получаем:
# iptables -t mangle -A OUTPUT -m connmark --mark 2 --gw 172.16.0.1 -j
ROUTE
iptables v1.3.5: Unknown arg `--gw'
Try `iptables -h' or 'iptables --help' for more information.
# iptables -t mangle -A OUTPUT -m connmark --mark 2 -j ROUTE
iptables v1.3.5: Couldn't load target
`ROUTE':/lib/iptables/libipt_ROUTE.so: cannot open shared object file:
No such file or directory
Try `iptables -h' or 'iptables --help' for more information.
:)
Но спасибо за попытку :)
Хотя, вопрос стоял несколько по другому ...
Я УЖЕ разрулил на два канала на основании внутренних адресов клиентов.
Теперь мне нужно разрулить на основании портов назначения...
При этом, порты для пассивного режима FTP - случайные ...
--
Best regards,
Dmitriy L. Kruglikov .--.
Dmitriy.Kruglikov@orionagro.com.ua |@_@ |
DKR6-RIPE |!_/ |
ICQ# 13047326 // \ \
(| | )
/'\_ _/`\
Powered by Linux \___)=(___/
Здравствуйте, Dmitriy.
Вы писали 27 марта 2006 г., 11:37:15:
>> > А теперь проблема:
>> > Трафик FTP.
>> > Как маркировать пакеты для пассивного режима, когда соединение
>> > устанавливается на портах с номерами типа 53456 <-> 65434 ???
>> Можно попробовать почитать man iptables в районе "conntrack".
>>
DLK> Все гораздо проще ...
DLK> Я думал-думал, и устал ...
DLK> А потом придумал такой ход:
DLK> Перенаправлять в "быстрый" канал те порты, которые мы точно знаем:
DLK> 25, 53, 123, 80, 8080, ... и т.д.
DLK> А все остальные заворачивать в "дешевый" ...
DLK> Таким образом задача может быть решена.
DLK> Если у кого есть замечания по такому варианту, буду благодарен.
DLK> А если нет, то вечером начну пробовать...
FTP на сервере находится? Или внутри сети?
Маркировать на основе -m state --state RELATED,ESTABLISHED ?
или -m owner --uid-owner ?
В этой рассылке письмо
От: Aleksey Avdeev <solo@solin.spb.ru>
Тема: Re: [Sysadmins] Хитрые настройки iptables
15.02.2006
читали? По-моему там похожая ситуация обсуждается.
--
С уважением,
Dank
On Mon, 27 Mar 2006 13:44:00 +0300 Dank Bagryantsev wrote: > FTP на сервере находится? Или внутри сети? > Маркировать на основе -m state --state RELATED,ESTABLISHED ? > или -m owner --uid-owner ? Извините, не четко сформирован вопрос ... Подразумевается протокол FTP и обращение клиентов моей сети к внешним серверам. Тут можно маркировать только по портам, а они выбираются случайным образом для пассивного режима ... (если я ни чего не путаю) > > В этой рассылке письмо > От: Aleksey Avdeev <solo@solin.spb.ru> > Тема: Re: [Sysadmins] Хитрые настройки iptables > 15.02.2006 > читали? По-моему там похожая ситуация обсуждается. Нет, не читал... Спасибо... Посмотрю. -- Best regards, Dmitriy L. Kruglikov .--. Dmitriy.Kruglikov@orionagro.com.ua |@_@ | DKR6-RIPE |!_/ | ICQ# 13047326 // \ \ (| | ) /'\_ _/`\ Powered by Linux \___)=(___/
On Mon, 27 Mar 2006 13:44:00 +0300
Dank Bagryantsev wrote:
> В этой рассылке письмо
> От: Aleksey Avdeev <solo@solin.spb.ru>
> Тема: Re: [Sysadmins] Хитрые настройки iptables
> 15.02.2006
> читали? По-моему там похожая ситуация обсуждается.
Уже читал ...
Там ситуация почти такая же, но вопрос пассивного режима не поднят ...
То ли сами догадались, то ли не попали еще на эту граблю ...
То есть, решение получается простое:
1) Метить и заворачивать пакеты на заранее известные порты в быстрый
канал.
Правило :
-p tcp -m multiport --destination-port 20,21,873 -j MARK --set-mark 0x1
(Явный список портов)
2) Все остальное в "дешевый"...
Правило:
-p tcp -m multiport ! --destination-port 20,21,873 -j MARK --set-mark
0x1
(Инвертированный список портов)...
Аналогично и для -p udp (Например: порты 53, 123)
Таблицы в iproute2 - как в книжке :)
--
Best regards,
Dmitriy L. Kruglikov .--.
Dmitriy.Kruglikov@orionagro.com.ua |@_@ |
DKR6-RIPE |!_/ |
ICQ# 13047326 // \ \
(| | )
/'\_ _/`\
Powered by Linux \___)=(___/
Ну правильно же сказали - читать в сторону conntrack_ftp, чего Вы маетесь? Грабли с пассивным фтп решаются именно им.
Здравствуйте, Dmitriy.
Вы писали 27 марта 2006 г., 13:49:45:
>> FTP на сервере находится? Или внутри сети?
>> Маркировать на основе -m state --state RELATED,ESTABLISHED ?
>> или -m owner --uid-owner ?
DLK> Извините, не четко сформирован вопрос ...
DLK> Подразумевается протокол FTP и обращение клиентов моей сети к внешним
DLK> серверам.
DLK> Тут можно маркировать только по портам, а они выбираются случайным
DLK> образом для пассивного режима ... (если я ни чего не путаю)
клиенты внутри сети NAT'ятся на сервере? на обеих каналах?
--
С уважением,
Dank
On Mon, 27 Mar 2006 14:34:48 +0300
Dank Bagryantsev wrote:
> клиенты внутри сети NAT'ятся на сервере? на обеих каналах?
Обязательно... на выходе...
-А POSTROUTING -SNAT --to.... И так далее ...
--
Best regards,
Dmitriy L. Kruglikov .--.
Dmitriy.Kruglikov@orionagro.com.ua |@_@ |
DKR6-RIPE |!_/ |
ICQ# 13047326 // \ \
(| | )
/'\_ _/`\
Powered by Linux \___)=(___/
On Mon, 27 Mar 2006 11:22:16 +0000
Avramenko Andrew wrote:
> Ну правильно же сказали - читать в сторону conntrack_ftp, чего Вы
> маетесь? Грабли с пассивным фтп решаются именно им.
Что-то я не вчитался ни как ....
Или не там читал, или не нашел ответа на свой вопрос ....
А можно примерчик ?
--
Best regards,
Dmitriy L. Kruglikov .--.
Dmitriy.Kruglikov@orionagro.com.ua |@_@ |
DKR6-RIPE |!_/ |
ICQ# 13047326 // \ \
(| | )
/'\_ _/`\
Powered by Linux \___)=(___/
On Mon, 27 Mar 2006 15:07:46 +0300
"Dmitriy L. Kruglikov" <Dmitriy.Kruglikov@orionagro.com.ua> wrote:
> On Mon, 27 Mar 2006 11:22:16 +0000
> Avramenko Andrew wrote:
>
> > Ну правильно же сказали - читать в сторону conntrack_ftp, чего Вы
> > маетесь? Грабли с пассивным фтп решаются именно им.
> Что-то я не вчитался ни как ....
> Или не там читал, или не нашел ответа на свой вопрос ....
>
> А можно примерчик ?
я может не до конца понял ситуацию.
при работе с пассивным фтп надо использовать модуль ip_nat_ftp,
он отслеживает устанавливаемые подключения.
--
ПКБ Акустика
Мерзляков Е.А. icq #115657846
On Mon, 27 Mar 2006 18:27:23 +0600
Мерзляков Евгений Анатольевич <hj@acoustics.ru> wrote:
> я может не до конца понял ситуацию.
> при работе с пассивным фтп надо использовать модуль ip_nat_ftp,
> он отслеживает устанавливаемые подключения.
извиняюсь, модуль ip_conntrack_ftp
в общем и тот и тот подгрузите, хуже не будет
--
ПКБ Акустика
Мерзляков Е.А. icq #115657846
On Mon, 27 Mar 2006 18:29:48 +0600
Мерзляков Евгений Анатольевич wrote:
> On Mon, 27 Mar 2006 18:27:23 +0600
> Мерзляков Евгений Анатольевич <hj@acoustics.ru> wrote:
>
>
> > я может не до конца понял ситуацию.
> > при работе с пассивным фтп надо использовать модуль ip_nat_ftp,
> > он отслеживает устанавливаемые подключения.
>
> извиняюсь, модуль ip_conntrack_ftp
> в общем и тот и тот подгрузите, хуже не будет
>
А если его нет в /lib/iptables/modules ?
Собирать сам не хочу .... Религия такая ...
Если его нет, но может быть, то буду просит маинтейнера :)
А команду покажите, если можно, потому как я примера не нашел ...
Но за то нашел много интересного :)
Например -j TARPIT ...
Если его устаканить с количеством соединений в минуту, то можно
подпортить настроение brute-force атакерам :)
--
Best regards,
Dmitriy L. Kruglikov .--.
Dmitriy.Kruglikov@orionagro.com.ua |@_@ |
DKR6-RIPE |!_/ |
ICQ# 13047326 // \ \
(| | )
/'\_ _/`\
Powered by Linux \___)=(___/
Мерзляков Евгений Анатольевич wrote:
> On Mon, 27 Mar 2006 18:27:23 +0600
> Мерзляков Евгений Анатольевич <hj@acoustics.ru> wrote:
>
>
>
>>я может не до конца понял ситуацию.
>>при работе с пассивным фтп надо использовать модуль ip_nat_ftp,
>>он отслеживает устанавливаемые подключения.
>
>
> извиняюсь, модуль ip_conntrack_ftp
> в общем и тот и тот подгрузите, хуже не будет
>
Я могу ошибаться, но в общем так:
Действительно подгрузить модули nat_ftp, conntrack_ftp
Нужно как-то создавать временное (динамическое) правило для пакета с
критерием RELATED (и в дальнейшем пакеты, которые будут идти по этим
портам должны натится в определенный интерфейс), как сделать чтобы
именно туда, если честно не могу сходу сказать. Может быть кто подскажет.
On Mon, 27 Mar 2006 15:37:01 +0300 "Dmitriy L. Kruglikov" <Dmitriy.Kruglikov@orionagro.com.ua> wrote: > А если его нет в /lib/iptables/modules ? у меня в redhat 7.3 он лежит тут: /lib/modules/2.4.18-3/kernel/net/ipv4/netfilter/ip_conntrack.o а в gentoo тут: /lib/modules/2.6.15-gentoo-r1.AthlonXP.1/kernel/net/ipv4/netfilter/ip_conntrack_ftp.ko > Собирать сам не хочу .... Религия такая ... > Если его нет, но может быть, то буду просит маинтейнера :) в пакетных дистрибутах он обычно уже собран, надо только загрузить > А команду покажите, если можно, потому как я примера не нашел ... этот модуль должен быть просто загружен /sbin/modprobe ip_conntrack_ftp я его загружаю перед настройками правил фаервола -- ПКБ Акустика Мерзляков Е.А. icq #115657846
> Но за то нашел много интересного :)
> Например -j TARPIT ...
> Если его устаканить с количеством соединений в минуту, то можно
> подпортить настроение brute-force атакерам :)
Модуль довольно интересный, и к брут-форсу никакого отношения не имеет,
а вот для анализаторов безопасности типа XSpider он действительно
большая помеха. Я обычно вместо дефолтного правила "блокировать" в конце
для всех неиспользуемых портов ставил TARPIT. В результате все порты
оказываются открытыми. На анализ такого компьютера уйдет оочень много
времени.
Nmap кстати в невидимом режиме в ловушки не попадается, кучу открытых
соединений не держит.
Здравствуйте, Dmitriy.
Вы писали 27 марта 2006 г., 14:43:19:
>> клиенты внутри сети NAT'ятся на сервере? на обеих каналах?
DLK> Обязательно... на выходе...
DLK> -А POSTROUTING -SNAT --to.... И так далее ...
я конечно могу ошибаться... но, что если попробовать что-то типа
такого:
$IPTABLES -t nat -A PREROUTING -i $LAN -p tcp -m multiport --dport 21,20 -j SNAT --to-source $SLOW_IP
$IPTABLES -t nat -A PREROUTING -i $LAN -p tcp --sport 20 -j SNAT --to-source $SLOW_IP
все это роутить на $SLOW_IF
и еще конечно
$IPTABLES -t nat -A PREROUTING -i $SLOW_IF -m state --state RELATED,ESTABLISHED -j ACCEPT
ну и посмотреть tcpdump что получается на интерфейсах
--
С уважением,
Dank
On Mon, 27 Mar 2006 18:45:17 +0600
Мерзляков Евгений Анатольевич wrote:
> этот модуль должен быть просто загружен
> /sbin/modprobe ip_conntrack_ftp
> я его загружаю перед настройками правил фаервола
>
Спасибо, вкурил :)
Если делать согласно дистрибутива, то нужно добавить эти модули
в /etc/sysconfig/iptables.modules для автоматической загрузки ...
Если модуль не загружен, то сам iptables ищет его в /lib/iptables/*
С вашей помощью разобрался ...
--
Best regards,
Dmitriy L. Kruglikov .--.
Dmitriy.Kruglikov@orionagro.com.ua |@_@ |
DKR6-RIPE |!_/ |
ICQ# 13047326 // \ \
(| | )
/'\_ _/`\
Powered by Linux \___)=(___/
On Mon, 27 Mar 2006 12:46:09 +0000
Avramenko Andrew wrote:
> Модуль довольно интересный, и к брут-форсу никакого отношения не имеет,
Это если напильником не пылять ....
А если отправить в -j TARPIT соединения NEW, которые пытаются открыться
чаще чем один раз в 15-20 секунд? На порту 22 ?
Думаю, стоит попробовать ... :)
Если у кого получится, то поделитесь ...
--
Best regards,
Dmitriy L. Kruglikov .--.
Dmitriy.Kruglikov@orionagro.com.ua |@_@ |
DKR6-RIPE |!_/ |
ICQ# 13047326 // \ \
(| | )
/'\_ _/`\
Powered by Linux \___)=(___/
Dmitriy L. Kruglikov wrote:
> On Mon, 27 Mar 2006 12:46:09 +0000
> Avramenko Andrew wrote:
>
>
>>Модуль довольно интересный, и к брут-форсу никакого отношения не имеет,
>
> Это если напильником не пылять ....
> А если отправить в -j TARPIT соединения NEW, которые пытаются открыться
> чаще чем один раз в 15-20 секунд? На порту 22 ?
>
> Думаю, стоит попробовать ... :)
>
> Если у кого получится, то поделитесь ...
>
По-моему будет немножко неудобно. Ну не ввели вы с трех раз пароль. Вас
отконнектили, а потом опять соединяетесь, а вас раз.. и в тарпит.
Как-то некузяво. А если увеличить время, то теряет свою актуальность.
Они ведь многопоточные. В общем проще анализатором логов это делать. Или
стандартными способами типа port_knocking.
Но это лишь личное мнение.
On Mon, 27 Mar 2006 13:13:25 +0000
Avramenko Andrew wrote:
> По-моему будет немножко неудобно. Ну не ввели вы с трех раз пароль. Вас
> отконнектили, а потом опять соединяетесь, а вас раз.. и в тарпит.
Я проводил исследования ...
На ввоод пароля, определение факта ошибки и ввод снова и снова уходит
больше 20-30 секунд ...
При этом соединение установлено и имеем только 1 NEW ...
А если не получилось с первого раза, то достаточно подождать 20-30
секунд ...
А вот когда с одного адреса, в 3-4 потока, и на каждом потоке с
таймаутом в 4-7 секунд .... Тогда самое ему место в tarpit ... :)
А то я мучился с snort+blockit ...
Хотя, каждому свое :)
--
Best regards,
Dmitriy L. Kruglikov .--.
Dmitriy.Kruglikov@orionagro.com.ua |@_@ |
DKR6-RIPE |!_/ |
ICQ# 13047326 // \ \
(| | )
/'\_ _/`\
Powered by Linux \___)=(___/
On Mon, 27 Mar 2006 15:56:31 +0300
"Dmitriy L. Kruglikov" <Dmitriy.Kruglikov@orionagro.com.ua> wrote:
> Спасибо, вкурил :)
>
> Если делать согласно дистрибутива, то нужно добавить эти модули
> в /etc/sysconfig/iptables.modules для автоматической загрузки ...
> Если модуль не загружен, то сам iptables ищет его в /lib/iptables/*
>
> С вашей помощью разобрался ...
рад был помочь.
--
ПКБ Акустика
Мерзляков Е.А. icq #115657846
27 марта 2006 16:46, Avramenko Andrew написал:
> Я обычно вместо дефолтного правила "блокировать" в конце
> для всех неиспользуемых портов ставил TARPIT. В результате все порты
> оказываются открытыми. На анализ такого компьютера уйдет оочень много
> времени.
А я обычно ставлю "-j REJECT --reject-with tcp-reset", при этом тот же nmap
показывает, что эти порты закрыты, а не "(filtered)".
А для knocking'а в Сизифе есть knock-server и knock (необязательный клиент).
--
ABATAPA
> > Я обычно вместо дефолтного правила "блокировать" в конце
> > для всех неиспользуемых портов ставил TARPIT. В результате все порты
> > оказываются открытыми. На анализ такого компьютера уйдет оочень много
> > времени.
> А я обычно ставлю "-j REJECT --reject-with tcp-reset", при этом тот же nmap
> показывает, что эти порты закрыты, а не "(filtered)".
а как быть с udp-портами? и ещё. почему по-умолчанию передается
сообщение port-unreachable, а сканер видит что порт отфильтрован? по
какому признаку он это делает?
--
Ринат Бикатов phone: 8-922-688-0701
Системный администратор JID: BiRin@jabber.ru
ООО "ИТС-Авто" ICQ: 177929811
On Sat, 25 Mar 2006 18:11:31 +0200 Dmitriy L. Kruglikov wrote: Отчет о проделанной работе: После продолжительного и плодотворного обсуждения, где я почерпнул много полезной информации, пришел к выводу, что изобретение велосипеда - процесс неблагодарный... А посему найдено такое рещение: 1) Настраиваем сеть как положено, с двумя каналами 2) Так как у меня (кроме меня) все работают исключительно через Squid, то и настраивать рулеж будем в нем... Получается такая красивая и простая картинка: - Пишем ACL по протоколу acl SLOW_PROTO proto FTP - Пишем ACL по адресу клиента acl SLOW_HOST src 192.168.0.140 acl SLOW_HOST src 192.168.0.142 acl SLOW_HOST src 192.168.0.145 acl SLOW_HOST src 192.168.0.148 - Пишем ACL по расширению acl SLOW_DOWN urlpath_regex -i \.exe$ acl SLOW_DOWN urlpath_regex -i \.avi$ acl SLOW_DOWN urlpath_regex -i \.mp3$ acl SLOW_DOWN urlpath_regex -i \.jpg$ - Заворачиваем все это на второй канал tcp_outgoing_address 85.209.95.35 SLOW_PROTO SLOW_HOST SLOW_DOWN Где 85.209.95.35 - адрес внешнего интерфейса на медленном канале Естественно, каждый тип ACL можно дополнять по вкусу ... Так же можно написать для шефа acl SPEED_HOST src 192.168.0.100 tcp_outgoing_address 195.4.5.67 SPEED_HOST # на быстрый канал и поставить его перед tcp_outgoing_address 85.209.95.35 для того, чтобы он отработал первым ... А на уровне iptables/iproute я решил несколько другие проблемы ... Например, принудительный разворот в медленный канал маршрут к определенным почтовым серверам, к которым исторически разрешен доступ только из сети второго провайдера. Спасибо всем за мысли и идеи. Если у кого есть мысли, как прописать ACL для Squid на определение размера контента, для того, чтобы разрулить таким же образом как и по протоколу, расширениям или адресам, то буду очень благодарен. А если мой вариант содержит замаскированные грабли, то буду благодарен многократно, так как в настройках Squid я не силен... -- Best regards, Dmitriy L. Kruglikov .--. Dmitriy.Kruglikov@orionagro.com.ua |@_@ | DKR6-RIPE |!_/ | ICQ# 13047326 // \ \ (| | ) /'\_ _/`\ Powered by Linux \___)=(___/
Hello sysadmins, Возникла необходимость сменить аплинка. Он через приватные адреса своих роутеров пробрасывает мой реальный. Тоесть на внешнем интерфейся у меня адрес из подсети 172.... и алиасом реальный адрес. Сразу же после этого перестал работать ДНС. Прописал в listen-on реальный адрес моего сервера сервера - не помогло. Где еще могут быть грабли? Фаервол настроен - проверял несколько раз. -- Best regards, Sergiy mailto:gray_post@mail.ru
On Friday 31 March 2006 12:57, Sergiy Guminilovych wrote:
> Возникла необходимость сменить аплинка. Он через приватные адреса
> своих роутеров пробрасывает мой реальный. Тоесть на внешнем интерфейся
> у меня адрес из подсети 172....
А что за реальный ? Он от аплинка не зависит ?
--
С уважением, Сергей
a_s_y@sama.ru
Hello Sergey, Friday, March 31, 2006, 11:14:52 AM, you wrote: > On Friday 31 March 2006 12:57, Sergiy Guminilovych wrote: >> Возникла необходимость сменить аплинка. Он через приватные адреса >> своих роутеров пробрасывает мой реальный. Тоесть на внешнем интерфейся >> у меня адрес из подсети 172.... > А что за реальный ? Он от аплинка не зависит ? Из его подсети. Я так понял что запросы мой бинд отправляет от имени приватного адреса, а наодо чтобы от реального. Как можно явно указать от какого IP-адреса работать бинду? -- Best regards, Sergiy mailto:gray_post@mail.ru
On Friday 31 March 2006 12:06, Oleg Dolgov wrote: > Отправлять почту также необходимо от имени внешних учетных записей, но это > либо через sender_cannonical, либо через алиасы (еще не разобрался/придумал > как лучше). Лучше как проще. Чем плох вариант указать во From нужный обратный адрес, когда письмо пишется ? > В общем ТЗ :-) > 1. внешние ящики: user1@mail1.server > user2@mail1.server > user3@mail1.server > otheruser@mail2.server > Опрашиваться будут mailfilter+fetchmail (это уже работало ранее, сам > настрою :-) ) Следует только помнить, что надо быть осторожным с боунсами, случись чего. > 2. раскладывать по различным правилам (от, кому, тема, другие) в десяток > папок. Cyrus-IMAP + Sieve + shared folders наверное... -- С уважением, Сергей a_s_y@sama.ru
On Friday 31 March 2006 13:21, Sergiy Guminilovych wrote: > >> Возникла необходимость сменить аплинка. Он через приватные адреса > >> своих роутеров пробрасывает мой реальный. Тоесть на внешнем интерфейся > >> у меня адрес из подсети 172.... > > > А что за реальный ? Он от аплинка не зависит ? > > Из его подсети. ТАк тот же аплинк остаётся, или как ? > Я так понял что запросы мой бинд отправляет от имени > приватного адреса, а наодо чтобы от реального. Как можно явно указать > от какого IP-адреса работать бинду? Кроме listen-on есть еще query-source address transfer-source notify-source -- С уважением, Сергей a_s_y@sama.ru
Sergiy Guminilovych пишет:
> Из его подсети. Я так понял что запросы мой бинд отправляет от имени
> приватного адреса, а наодо чтобы от реального. Как можно явно указать
> от какого IP-адреса работать бинду?
хм.. тогда боюсь что пробелма будет не только с биндом.. в общем можно
наверено можно попробовать занатить.
--
np: Theatre of Tragedy - Debris
Hello Sergey,
Friday, March 31, 2006, 12:21:37 PM, you wrote:
> query-source address
Самое оно! Спасибо!!!
--
Best regards,
Sergiy mailto:gray_post@mail.ru
On Fri, 31 Mar 2006 14:49:07 +0300 "Oleg Dolgov" <dolgov@mail.zp.ua> wrote: > > Cyrus-IMAP + Sieve + shared folders наверное... > > Я уже лоб набил об стол :-\ В голове каша.... от потока информации. > Помогите "на пальцах", что и как делать, пожалуйста. про cyrus и т.д. сперва, скажем, http://turbogaz.kharkov-ua.com/unix/mail/mail-architech.php а, затем, возможно http://www.freesource.info/wiki/AltLinux/Dokumentacija/PostfixCyrusImap?v=pi2 плюс opennet.ru, конечно sy, peter
On Friday 31 March 2006 16:49, Oleg Dolgov wrote:
> > Cyrus-IMAP + Sieve + shared folders наверное...
>
> Я уже лоб набил об стол :-\ В голове каша.... от потока информации.
> Помогите "на пальцах", что и как делать, пожалуйста.
1.
apt-get install cyrus-imapd cyrus-imapd-utils
cyrus-sasl2 оно само подхватит.
2.
Решить, конфигурация будет с виртуальными доменами, или нет. Скорее
всего нет, тогда дальше читать с коррекцией на бездоменность.
3.
завести юзера (к Curus-IMAP прямого отношение не имеет,
это именно заведение пользователя в sasl, а не майлбокса в
Cyrus-IMAP)
$saslpasswd2 -c -u <домен> <имя>
удалить юзера
$saslpasswd2 -d -u <домен> <имя>
4.
$cyradm --user cyrus@localdomain localhost
далее насоздавать ящиков
принимаем за сокращение:
<имя>@<домен> = <e-mail>
user/<e-mail> = <uname>
cm <uname> - создать ящик.
lm - посмотреть список ящиков.
dm <uname> - удалить ящик.
По умолчанию права на удаление ящиков отсутствуют, если надо действительно,
следует выполнить команду
sam <uname> cyrus c
<uname> не проверяется, но работать будет только то, что заведено правильно.
5.
Берём MTA и прикручиваем к Cyrus-IMAP.
Тут я пас, так как Postfix не использую, могу рассказать про Sendmail.
--
С уважением, Сергей
a_s_y@sama.ru
31 марта 2006 13:31, Anton Gorlov написал:
> хм.. тогда боюсь что пробелма будет не только с биндом.. в общем можно
> наверено можно попробовать занатить.
Как "проброшен" адрес? "Проброшен" - это туннель, как правило, а у Вас, я так
понимаю, просто маршрут? Нарисуйте цепочку.
`traceroute что-то-из-мира` показывает приватные адреса?
Почему у вас алиасом не "приватный" адрес, а "нормальный"?
Разумеется, у вас все маршруты по-умолчанию через eth0, и его адрес не должен
быть виден в мире. И чтобы не было "пробелм" не только с bind'ом, на адресе,
_с которого_ уходят пакеты в мир должен быть нормальный адрес. К слову, и в
цепочки маршрутов "приватных" адресов быть не должно.
--
ABATAPA
Hello ABATAPA, Friday, March 31, 2006, 6:47:43 PM, you wrote: > 31 марта 2006 13:31, Anton Gorlov написал: >> хм.. тогда боюсь что пробелма будет не только с биндом.. в общем можно >> наверено можно попробовать занатить. > Как "проброшен" адрес? "Проброшен" - это туннель, как правило, а у Вас, я так > понимаю, просто маршрут? Нарисуйте цепочку. > `traceroute что-то-из-мира` показывает приватные адреса? > Почему у вас алиасом не "приватный" адрес, а "нормальный"? > Разумеется, у вас все маршруты по-умолчанию через eth0, и его адрес не должен > быть виден в мире. И чтобы не было "пробелм" не только с bind'ом, на адресе, > _с которого_ уходят пакеты в мир должен быть нормальный адрес. К слову, и в > цепочки маршрутов "приватных" адресов быть не должно. все проблемы от нехватки у аплинка свободных адресов, но счас они сделали реорганизацию своей сети и выделили нормальные адреса. -- Best regards, Sergiy mailto:gray_post@mail.ru
31 марта 2006 20:38, Sergiy Guminilovych написал:
> все проблемы от нехватки у аплинка свободных адресов, но счас они сделали
> реорганизацию своей сети и выделили нормальные адреса.
Эти проблемы решаются не такими "маршрутами". :)
--
ABATAPA
On Mon, 3 Apr 2006 10:48:57 +0500 Mike Lykov wrote:
> В сообщении от Пятница 31 Март 2006 12:06 Oleg Dolgov написал(a):
> > Здравстувте.
> > Может надо с этим в community, но тут вроде киты собрались :-)
>
> ваш оутлук вообще не проставляет никакой кодировки в письме, поэтому у
> меня вообще не видно ни одной русской буквы (принимается за 7бит), и
> прочитать можно, только указав кодировку вручную в почт-клиенте..
Исправляюсь :-)
Восстановил свою сильфиду (не хотела запускаться после переустановки
системы. Слегка криво обновление прошло с 2.3 на 2.4.)
--
С наилучшими,
Олег Долгов
<dolgov AT mail DOT zp DOT ua>
Registered Linux user #315454
В ошибках нашел такое сообщение. 222.120.83.208 - был в черном списке и сообщение отвергнуто. У меня открытый релей? Out: 220 soc.adm.yar.ru ESMTP Postfix In: HELO 193.233.55.134 Out: 250 soc.adm.yar.ru In: MAIL FROM: <nofrom@email> Out: 250 Ok In: RCPT TO: <xxx@soc.adm.yar.ru> Out: 505 <unknown[222.120.83.208]>: Client host rejected: -- С уважением, Дворников Михаил.
В сообщении от 4 апреля 2006 08:44 Дворников Михаил написал(a):
> В ошибках нашел такое сообщение.
> 222.120.83.208 - был в черном списке и сообщение отвергнуто.
> У меня открытый релей?
Не обязательно. Возможно кто то занёс вас в чёрный список, например за письмо
с вирусом от вашего почтовика или за спам от вас.
--
С уважением, Шенцев Алексей Владимирович (AShen)
E-mail: ashen@nsrz.ru
ICQ: 271053845
Шенцев Алексей Владимирович пишет:
> В сообщении от 4 апреля 2006 08:44 Дворников Михаил написал(a):
>> В ошибках нашел такое сообщение.
>> 222.120.83.208 - был в черном списке и сообщение отвергнуто.
>> У меня открытый релей?
> Не обязательно. Возможно кто то занёс вас в чёрный список, например за письмо
> с вирусом от вашего почтовика или за спам от вас.
Вы неправильно поняли.
Мой ip - 193.233.55.134. Мне шлет 222.120.83.208.
222.120.83.208 - в моем черном списке.
Смущает:
In: MAIL FROM: <nofrom@email>
Out: 250 Ok
In: HELO 193.233.55.134
Он мной представляется?
--
С уважением, Дворников Михаил.
On Tuesday 04 April 2006 09:55, Дворников Михаил wrote: > Вы неправильно поняли. Ну, уж как написано... Я тоже так понял. > Мой ip - 193.233.55.134. Мне шлет 222.120.83.208. > 222.120.83.208 - в моем черном списке. > > Смущает: > In: MAIL FROM: <nofrom@email> > Out: 250 Ok А в чем смущение ? Сервер просто не проверяет валидность E-Mail на этом этапе. Судя по mail from:<qwerty@qwe> 250 Ok rcpt to:<a_s_y@sama.ru> 450 <qwerty@qwe>: Sender address rejected: Domain not found потом проверяет. Кстати, я бы 5xx на такое говорил. > In: HELO 193.233.55.134 > Он мной представляется? Да, типичный случай. Я почтовики настраиваю так, чтобы конекты со своими IP в helo реджектились. localhost, кстати, тоже. -- С уважением, Сергей a_s_y@sama.ru
On Fri, 31 Mar 2006 17:34:08 +0500 Sergey wrote: > 1. > apt-get install cyrus-imapd cyrus-imapd-utils > cyrus-sasl2 оно само подхватит. Что-то глядя на свои кривые ручки начинаю побаиваться cyrus'a с его собственным форматом (базой) сообщений. Может стоит посмотреть на courier? Там в случае чего на MH можно любой почтовик натравить и вытащить всю почту. Или я ошибаюсь? > 2. > Решить, конфигурация будет с виртуальными доменами, или нет. Скорее > всего нет, тогда дальше читать с коррекцией на бездоменность. Наверное нет. А имя сервера в настройках cyrus должно = hostname? $ hostname into.localdomain > 3. > завести юзера (к Curus-IMAP прямого отношение не имеет, > это именно заведение пользователя в sasl, а не майлбокса в > Cyrus-IMAP) > > $saslpasswd2 -c -u <домен> <имя> $saslpasswd2 -c -u localdomain user1 Верно? > удалить юзера > > $saslpasswd2 -d -u <домен> <имя> > > 4. > $cyradm --user cyrus@localdomain localhost > далее насоздавать ящиков > > принимаем за сокращение: > <имя>@<домен> = <e-mail> > user/<e-mail> = <uname> Не совсем понял. У меня внешний ящик dolgov@mail.zp.ua В дальнейшем мне надо, чтобы postfix подставлял этого отправителя во все необходимые заголовки для авторизации/отправки сообщений через smtp провайдера. Или это надо будет решать через sender-cannonical и <e-mail> = user1@into.localdomain ? И как всетаки будет выглядеть <uname>? > cm <uname> - создать ящик. > lm - посмотреть список ящиков. -- С наилучшими, Олег Долгов <dolgov AT mail DOT zp DOT ua> Registered Linux user #315454
On Tuesday 04 April 2006 11:44, Oleg Dolgov wrote: > Что-то глядя на свои кривые ручки начинаю побаиваться cyrus'a с его > собственным форматом (базой) сообщений. > Может стоит посмотреть на courier? Там в случае чего на MH можно любой > почтовик натравить и вытащить всю почту. Или я ошибаюсь? Как сказать... Формат базы, с одной стороны, свой, а с другой, всё-таки, maildir. Индексы в отдельных файлах, если что вытаскивать, на них можно наплевать. И переиндексировать тоже можно, если вдруг что. > > 2. > > Решить, конфигурация будет с виртуальными доменами, или нет. Скорее > > всего нет, тогда дальше читать с коррекцией на бездоменность. > > Наверное нет. А имя сервера в настройках cyrus должно = hostname? По идее да. Но по-умолчанию, там, в общем-то, рабочая конфигурация. > > 3. > > завести юзера (к Curus-IMAP прямого отношение не имеет, > > это именно заведение пользователя в sasl, а не майлбокса в > > Cyrus-IMAP) > > > > $saslpasswd2 -c -u <домен> <имя> > > $saslpasswd2 -c -u localdomain user1 > Верно? Кажется, можно даже saslpasswd2 -c user1. > > 4. > > $cyradm --user cyrus@localdomain localhost > > далее насоздавать ящиков > > > > принимаем за сокращение: > > <имя>@<домен> = <e-mail> > > user/<e-mail> = <uname> > > Не совсем понял. У меня внешний ящик dolgov@mail.zp.ua > В дальнейшем мне надо, чтобы postfix подставлял этого отправителя во А это к Cyrus-IMAP отношения иметь уже не будет. > И как всетаки будет выглядеть <uname>? user/vasia на сколько я помню, у меня сейчас бездоменных конфигураций нет под руками... -- С уважением, Сергей a_s_y@sama.ru
On Tue, 4 Apr 2006 12:02:56 +0500 Sergey wrote:
> > > $saslpasswd2 -c -u <домен> <имя>
> >
> > $saslpasswd2 -c -u localdomain user1
> > Верно?
>
> Кажется, можно даже saslpasswd2 -c user1.
А пользователи в системе должны присутствовать или это виртуальные?
--
С наилучшими,
Олег Долгов
<dolgov AT mail DOT zp DOT ua>
Registered Linux user #315454
Sergey пишет:
>> In: HELO 193.233.55.134
>> Он мной представляется?
>
> Да, типичный случай. Я почтовики настраиваю так, чтобы
> конекты со своими IP в helo реджектились. localhost, кстати,
> тоже.
>
В /etc/postfix/access записал:
193.233.55.134 reject
Если еще запишу:
127.0.0.1 reject
Локальные приложения, рассылающие сообщения (crond ...),
смогут посылать сообщения?
--
С уважением, Дворников Михаил.
On Tuesday 04 April 2006 12:19, Oleg Dolgov wrote:
> > Кажется, можно даже saslpasswd2 -c user1.
>
> А пользователи в системе должны присутствовать или это виртуальные?
Не должны. Хотя, если настроить sasl так, чтобы он использовал pam,
могут пользователи быть и системными, тогда их не надо будет заводить
через saslpasswd. С MySQL sasl тоже может работать, в этом случае
saslpasswd тоже не нужен.
--
С уважением, Сергей
a_s_y@sama.ru
On Tue, 4 Apr 2006 12:02:56 +0500 Sergey wrote:
> user/vasia на сколько я помню, у меня сейчас бездоменных конфигураций
> нет под руками...
cm user.vasia
Все получилось. Ящики создал. Даже смог соединится из оперы и лицезреть
INBOX :-)
Спасибо.
А как теперь создать "shared folders", дабы их видели все пользователи?
--
С наилучшими,
Олег Долгов
<dolgov AT mail DOT zp DOT ua>
Registered Linux user #315454
Sergey wrote: > On Tuesday 04 April 2006 09:55, Дворников Михаил wrote: > > >>Вы неправильно поняли. > > > Ну, уж как написано... Я тоже так понял. > > >>Мой ip - 193.233.55.134. Мне шлет 222.120.83.208. >>222.120.83.208 - в моем черном списке. >> >>Смущает: >>In: MAIL FROM: <nofrom@email> >>Out: 250 Ok > > > А в чем смущение ? Сервер просто не проверяет валидность > E-Mail на этом этапе. Судя по > > mail from:<qwerty@qwe> > 250 Ok > rcpt to:<a_s_y@sama.ru> > 450 <qwerty@qwe>: Sender address rejected: Domain not found > > потом проверяет. Кстати, я бы 5xx на такое говорил. И был бы полностью не прав, т.к. 'Domain not found' может случиться по многим причинам. >>In: HELO 193.233.55.134 >>Он мной представляется? Угу, пытается. Spamware какое-то кривое. > Да, типичный случай. Я почтовики настраиваю так, чтобы > конекты со своими IP в helo реджектились. localhost, кстати, > тоже. BTW, localhost достаточно часто пихают всякие почтовые клиенты, вполне добропорядочные ... На сервере, через который ползатели твоей сети отправляют почту, такую проверку можно делать только в случае полной уверенности в почтовых клиента. Обычно такой уверенности нет. ;) -- WBR, Dmitry Lebkov
On Tuesday 04 April 2006 14:46, Oleg Dolgov wrote: > > user/vasia на сколько я помню, у меня сейчас бездоменных конфигураций > > нет под руками... > > cm user.vasia А это значит, что Cyrus-IMAP староват. У новых версий "/" вместо "." > А как теперь создать "shared folders", дабы их видели все пользователи? А вот с этим баловался не я, а мой сосед. Можно или прямо почтовым клиентом (если поддерживает; KMail поддерживает) права назначить из-под владельца, либо конфигурялкой цирусовой. -- С уважением, Сергей a_s_y@sama.ru
On Tuesday 04 April 2006 15:27, Dmitry Lebkov wrote: > > Да, типичный случай. Я почтовики настраиваю так, чтобы > > конекты со своими IP в helo реджектились. localhost, кстати, > > тоже. > > BTW, localhost достаточно часто пихают всякие почтовые клиенты, И fetchmail... Нехрен. Ибо RFC2821 требует там FQDN. localhost никак не FQDN в случае удалённого хоста. > вполне добропорядочные ... На сервере, через который ползатели > твоей сети отправляют почту, такую проверку можно делать только > в случае полной уверенности в почтовых клиента. Обычно такой > уверенности нет. ;) А кто же сказал, что оно для своих проверяется ? :-) -- С уважением, Сергей a_s_y@sama.ru
On Tuesday 04 April 2006 15:27, Dmitry Lebkov wrote:
> > mail from:<qwerty@qwe>
> > 250 Ok
> > rcpt to:<a_s_y@sama.ru>
> > 450 <qwerty@qwe>: Sender address rejected: Domain not found
> >
> > потом проверяет. Кстати, я бы 5xx на такое говорил.
>
> И был бы полностью не прав, т.к. 'Domain not found' может случиться
> по многим причинам.
В случае отсутствия "." в доменной части причина одна. :-)
--
С уважением, Сергей
a_s_y@sama.ru
On Tue, 4 Apr 2006 15:29:42 +0500 Sergey wrote: > > cm user.vasia > > А это значит, что Cyrus-IMAP староват. У новых версий "/" вместо "." $ rpm -qa | grep cyrus cyrus-imapd-utils-2.2.10-alt1 cyrus-imapd-2.2.10-alt1 cyrus-sasl2-2.1.19-alt1 > > > А как теперь создать "shared folders", дабы их видели все пользователи? > > А вот с этим баловался не я, а мой сосед. Можно или прямо почтовым > клиентом (если поддерживает; KMail поддерживает) права назначить > из-под владельца, либо конфигурялкой цирусовой. Как конфигурялкой? Я то думал, что эти папки будут лежать в иерархии shared.folders а не user.vasia.folders Я планирую sieve заставить письма раскладывать _только_ в эти расшаренные папки, дабы их сразу могли видеть _все_ учетные записи. -- С наилучшими, Олег Долгов <dolgov AT mail DOT zp DOT ua> Registered Linux user #315454
On Tuesday 04 April 2006 12:21, Дворников Михаил wrote:
> Если еще запишу:
> 127.0.0.1 reject
> Локальные приложения, рассылающие сообщения (crond ...),
> смогут посылать сообщения?
Зависит от того, как они это делают. В большинстве случаев
смогут, но проверить следует.
Кстати, вообще-то, helo вида xxx.yyy.zzz.qqq тоже rfc не
соответствует. В этом случае значение должно записываться,
как [xxx.yyy.zzz.qqq].
--
С уважением, Сергей
a_s_y@sama.ru
И еще неплохо задержку поставить секунд на 15 перед 220 soc.adm.yar.ru ESMTP Postfix и реджектить тех, кто поперёк батьки в пекло лезет. Правда, в нарушители попадают и некоторые нормальные сервера, так что надо в логи смотреть некоторое время. Сразу список исключений: pochta.ru livejournal.com andrew.cmu.edu -- С уважением, Сергей a_s_y@sama.ru
On Tuesday 04 April 2006 15:43, Oleg Dolgov wrote: > > А это значит, что Cyrus-IMAP староват. У новых версий "/" вместо "." > > $ rpm -qa | grep cyrus > cyrus-imapd-utils-2.2.10-alt1 > cyrus-imapd-2.2.10-alt1 > cyrus-sasl2-2.1.19-alt1 Хм, может оно тогда тоже от поддержки/неподдержки доменов зависит. Тогда просто стоит запомнить на всякий случай. > > А вот с этим баловался не я, а мой сосед. Можно или прямо почтовым > > клиентом (если поддерживает; KMail поддерживает) права назначить > > из-под владельца, либо конфигурялкой цирусовой. > > Как конфигурялкой? cyradm, там набор команд большой. > Я то думал, что эти папки будут лежать в иерархии shared.folders а не > user.vasia.folders Может и так можно. Но так как не игрался, могу только один вариант предложить. Создаётся пользователь, какой-нибудь user.shareduser, вся почта сваливается к нему и раскладывается по его папкам, а всем остальным даётся r/o доступ к его папкам. Практически то же самое. -- С уважением, Сергей a_s_y@sama.ru
On Tue, 4 Apr 2006 16:02:27 +0500 Sergey wrote:
> Может и так можно. Но так как не игрался, могу только один вариант
> предложить. Создаётся пользователь, какой-нибудь user.shareduser,
> вся почта сваливается к нему и раскладывается по его папкам, а всем
> остальным даётся r/o доступ к его папкам. Практически то же самое.
Примерно так и получилось.
Теперь в иерархии папок учетки vasia видна еще одна ветка:
INBOX
|_подпапки
user
|_sasha
Вопрос о соглашении именования (во начитался :-). Каких граблей огребу,
если посоздаю маилбоксы вида vasia вместо user.vasia дабы попытаться
убрать корневую папку user, а сразу получить на одном уровне с INBOX
папку sasha? Вернее создать пользователя shareduser вместо упомянутого
выше user.shareduser.
И пойду разбираться с sieve. Вменяемой документации на русском нет?
--
С наилучшими,
Олег Долгов
<dolgov AT mail DOT zp DOT ua>
Registered Linux user #315454
Огреб небольшую проблему :-\ Пошел попробовать натравить клиентскую машину на поднятый imap. Облом. Не пингуется into.localdomain Я так понимаю, что dns не разруливает. У меня на клиентах стоят настройки на провайдера, а он меня в таком виде не знает. Получилось достучаться по ip адресу (внутреннему естественно). Опера-9 увидела нормально все папки, включая расшаренную другого юзера, а вот TheBat!-1.61 расшаренные видеть отказывается. Блин, счас нарвусь... какого вменяемого клиента под Вин посоветуете для работы с imap? Опера не совсем подходит из-за отсутствия фишки "подтверждение доставки", а она критична в ряде случаев. -- С наилучшими, Олег Долгов <dolgov AT mail DOT zp DOT ua> Registered Linux user #315454
On Tue, Apr 04, 2006 at 05:27:11PM +0300, Oleg Dolgov wrote: > Опера-9 увидела нормально все папки, включая расшаренную > другого юзера, а вот TheBat!-1.61 расшаренные видеть > отказывается. Блин, счас нарвусь... какого вменяемого клиента > под Вин посоветуете для работы с imap? Опера не совсем подходит > из-за отсутствия фишки "подтверждение доставки", а она критична > в ряде случаев. seamonkey/thunderbird/sylpheed-win32? (не знаю, как в последнем с запрошенными фичами, правда) -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/
On Tuesday 04 April 2006 18:08, Oleg Dolgov wrote: > Вопрос о соглашении именования (во начитался :-). Каких граблей огребу, > если посоздаю маилбоксы вида vasia вместо user.vasia дабы попытаться На сколько помню, по меньшей мере у данного юзера пропадёт доступ по pop/imap. > И пойду разбираться с sieve. Вменяемой документации на русском нет? На русском не видел. -- С уважением, Сергей a_s_y@sama.ru
On Tue, 4 Apr 2006 19:48:41 +0500 Sergey wrote:
> > Вопрос о соглашении именования (во начитался :-). Каких граблей огребу,
> > если посоздаю маилбоксы вида vasia вместо user.vasia дабы попытаться
>
> На сколько помню, по меньшей мере у данного юзера пропадёт доступ
> по pop/imap.
Т.е. от имени этого пользователя я по imap не зайду? Но sieve в эти
папки письма раскладывать будет? Это собственно и нужно. Не общий
пользователь, а "общие папки".
Ладно буду пробовать. Сейчас надо postfix вразумить. Завтра продолжу
заваливать новыми вопросами, если что...
Спасибо за помощь.
--
С наилучшими,
Олег Долгов
<dolgov AT mail DOT zp DOT ua>
Registered Linux user #315454
On Tuesday 04 April 2006 20:07, Oleg Dolgov wrote:
> Т.е. от имени этого пользователя я по imap не зайду? Но sieve в эти
> папки письма раскладывать будет?
Я не пробовал.
--
С уважением, Сергей
a_s_y@sama.ru
On Tuesday 04 April 2006 19:27, Oleg Dolgov wrote: > Опера-9 увидела нормально все папки, включая расшаренную другого юзера, > а вот TheBat!-1.61 расшаренные видеть отказывается. 1.x использует imap как pop3. Иногда это удобно даже (Cyrus-IMAP майлбоксы не блокирует при работе с ним по imap), но тут явно не тот случай. Нужен TheBat 2.x. > для работы с imap? Опера не совсем подходит из-за отсутствия фишки > "подтверждение доставки", а она критична в ряде случаев. С подтверждением доставки справится Sieve, клиенту останется разьве что подтверждение открытия сообщения. -- С уважением, Сергей a_s_y@sama.ru
On Tue, 4 Apr 2006 20:18:21 +0500 Sergey wrote:
> On Tuesday 04 April 2006 19:27, Oleg Dolgov wrote:
>
> > Опера-9 увидела нормально все папки, включая расшаренную другого
> > юзера, а вот TheBat!-1.61 расшаренные видеть отказывается.
>
> 1.x использует imap как pop3. Иногда это удобно даже (Cyrus-IMAP
> майлбоксы не блокирует при работе с ним по imap), но тут явно не тот
> случай. Нужен TheBat 2.x.
Как это ни печально, но если нужна работа именно с IMAP, то от TheBat
лучше вообще отказаться. Нормальную реализацию IMAP-клиента разработчики
мыши так и не смогли родить. Плюс еще наличие оригинальных заскоков у
этого почтового клиента... В общем, кому хочется IMAP советую сразу по
ранжиру предпочтения: sylpheed (актуальные сборки под винду основной
ветки выходят наравне с линуховыми сборками), Мозилловские монстрики и,
как ни странно, Outlook.
>>>>> On 04 Apr 2006 at 16:27 "DL" == Dmitry Lebkov writes: >> mail from:<qwerty@qwe> >> 250 Ok >> rcpt to:<a_s_y@sama.ru> >> 450 <qwerty@qwe>: Sender address rejected: Domain not found >> >> потом проверяет. Кстати, я бы 5xx на такое говорил. DL> И был бы полностью не прав, т.к. 'Domain not found' может случиться DL> по многим причинам. В данном случае reject_non_fqdn_hostname в рестрикшены самое то... DL> BTW, localhost достаточно часто пихают всякие почтовые клиенты, DL> вполне добропорядочные ... На сервере, через который ползатели DL> твоей сети отправляют почту, такую проверку можно делать только DL> в случае полной уверенности в почтовых клиента. Обычно такой DL> уверенности нет. ;) Дык для mynetworks/sasl_authenticated эту проверку отключаем и всё... -- vvk
On Tuesday 04 April 2006 20:07, Oleg Dolgov wrote:
> Ладно буду пробовать. Сейчас надо postfix вразумить. Завтра продолжу
> заваливать новыми вопросами, если что...
На всякий случай:
1. При нарушении рабочей базы для доставки есть два пути
а) остановить Cyrus-IMAP (не исключено, что он уже сам упал)
б) удалить содержимое каталога /var/lib/imapd/db/
в1) если ньюс-сервер не используется, /var/lib/imap/deliver.db и
/var/lib/imap/tls_sessions.db можно просто удалить.
в2) в случае, если Cyrus-IMAP используется в качестве news-сервера надо восстановить
/var/lib/imap/deliver.db и /var/lib/imap/tls_sessions.db с помощью db_dump/db_load
(можно Диму дописать попросить конкретно – он так делал)
г) запустить Cyrus-IMAP
* удаление deliver.db приведет так же к временному сбою дуполовки (duplicatesuppression),
если она нужна, как воздух (в чем сомневаюсь), можно использовать db_dump/db_load.
* если нарушилась база /var/lib/imap/mailboxes.db, использовать те же db_dump/db_load
2. Если нарушена структура майлбокса, необходимо запустить от пользователя, под которым
работает imap
reconstruct -f -r user/<ящик>
для всех майлбоксов разом:
reconstruct -f -r user
<ящик> – либо имя, либо e-mail, в зависимости от того, активирована ли поддержка виртуальных
доманов.
3. Найти реальный каталог с майлбоксом:
mbpath user/<ящик>
--
С уважением, Сергей
a_s_y@sama.ru
On Wednesday 05 April 2006 10:39, Sergey wrote:
> (можно Диму дописать попросить конкретно – он так делал)
Тьфу блин, не весь наш хауту вычистил... :-)
--
С уважением, Сергей
a_s_y@sama.ru
On Tue, 04 Apr 2006 19:07:35 +0400, Oleg Dolgov <dolgov@mail.zp.ua> wrote: > Но sieve в эти > папки письма раскладывать будет? Это собственно и нужно. Не общий > пользователь, а "общие папки". Животрепещущий вопрос на сегодня: как работает sieve? В смысле используется один скрипт или набор различных? Как срабатывает? По первому попавшемуся правилу, и если не под одно не попадает письмо идет получателю по умолчанию? Если ведется общая база правил, что тогда происходит при активации вновь загруженного скрипта и как удаляются/редактируются существующие правила? -- Using Opera's revolutionary e-mail client: http://www.opera.com/mail/
On Wed, 5 Apr 2006 10:39:19 +0500 Sergey wrote:
> г) запустить Cyrus-IMAP
>
> * удаление deliver.db приведет так же к временному сбою дуполовки
> (duplicatesuppression),
> если она нужна, как воздух (в чем сомневаюсь), можно использовать
> db_dump/db_load.
>
> * если нарушилась база /var/lib/imap/mailboxes.db, использовать те
> же db_dump/db_load
Так это... По-умолчанию для mailboxes.db используется тип базы skiplist.
Что-то меня мучают подозрения, что для skiplist db_dump/db_load
ортогональны. По крайней мере у меня он выругался
db_dump: mailboxes.db: unexpected file type or format
db_dump: open: mailboxes.db: Invalid argument
А текстовый дамп базы надо искать в /var/lib/imap/backup там они
складируюся за шесть дней. заливать надо через утилиту ctl_mboxlist. но
перед этим не мешает попробовать поиграться с ctl_cyrusdb
On Wednesday 05 April 2006 12:09, Alexei Takaseev wrote: > > * если нарушилась база /var/lib/imap/mailboxes.db, использовать те > > же db_dump/db_load > > Так это... По-умолчанию для mailboxes.db используется тип базы skiplist. > Что-то меня мучают подозрения, что для skiplist db_dump/db_load > ортогональны. По крайней мере у меня он выругался Вообще по памяти писал и со слов. Такой случай один раз был в обозримом прошлом и еще и разбирался не я. > db_dump: mailboxes.db: unexpected file type or format > db_dump: open: mailboxes.db: Invalid argument Мда, надо будет у себя поправить/проверить. -- С уважением, Сергей a_s_y@sama.ru
On Wednesday 05 April 2006 11:11, Oleg Dolgov wrote: > Животрепещущий вопрос на сегодня: как работает sieve? > В смысле используется один скрипт или набор различных? Один. У юзера. Кладётся через... Вообще, библиотека перловая managesieve. У нас есть скрипт sieve_put на её основе. Откуда взялся, пока непонятно - в пакете не вижу. Кто писать мог говорит, что не писал. В скрипте никаких упоминаний об авторе... Могу послать. > Как срабатывает? По первому попавшемуся правилу, По последнему. Пример (совсем грубый): ============== require ["fileinto","reject"]; if not exists ["From", "Date"] { fileinto "INBOX/_spam"; stop; } if address :contains ["To","Cc"] [ "sisyphus-cybertalk@lists.altlinux.org" ] { fileinto "INBOX/Mail-Lists/ALT/sisyphus-cybertalk"; } elsif address :contains ["To","Cc"] [ "devel@altlinux.ru", "devel@altlinux.org", "devel@altlinux.com", "devel@lists.altlinux.org" ] { fileinto "INBOX/Mail-Lists/ALT/devel"; } elsif address :contains ["To","Cc"] [ "backports@altlinux.ru", "backports@altlinux.org", "backports@altlinux.com", "backports@lists.altlinux.org" ] { fileinto "INBOX/Mail-Lists/ALT/backports"; } elsif header :contains ["Subject"] ["Daily security check"] { fileinto "INBOX/security/osec"; } else { fileinto "INBOX/spam"; } ============ > и если не под одно не попадает письмо идет получателю по умолчанию? Да. -- С уважением, Сергей a_s_y@sama.ru
On Wednesday 05 April 2006 12:58, Sergey wrote:
> > и если не под одно не попадает письмо идет получателю по умолчанию?
>
> Да.
В смысле не получателю, а в INBOX - скрипты персональные по юзерам.
--
С уважением, Сергей
a_s_y@sama.ru
On Wed, 5 Apr 2006 12:29:46 +0500 Sergey wrote:
> On Wednesday 05 April 2006 12:09, Alexei Takaseev wrote:
>
> > > * если нарушилась база /var/lib/imap/mailboxes.db, использовать
> > > те же db_dump/db_load
> >
> > Так это... По-умолчанию для mailboxes.db используется тип базы
> > skiplist. Что-то меня мучают подозрения, что для skiplist
> > db_dump/db_load ортогональны. По крайней мере у меня он выругался
>
> Вообще по памяти писал и со слов. Такой случай один раз был в
> обозримом прошлом и еще и разбирался не я.
Вообще пользование bdb для mailboxes.db когда-то практиковалось (в
версиях 2.0.x только такой тип базы и был доступен), а вот в 2.2.x я в
сборке только skiplist ставил. Как-то спокойнее с ней.
On Wed, 5 Apr 2006 09:59:16 +0900
Alexei Takaseev wrote:
> В общем, кому хочется IMAP советую сразу по
> ранжиру предпочтения: sylpheed (актуальные сборки под винду основной
> ветки выходят наравне с линуховыми сборками), Мозилловские монстрики и,
> как ни странно, Outlook.
По опыту эксплуатации рекомендую Громоптицу...
Сульфид под Вынь оставил грустные воспоминания... Подробностей не
помню ... Что-то там со шрифтами было ...
--
Best regards,
Dmitriy L. Kruglikov .--.
Dmitriy.Kruglikov@orionagro.com.ua |@_@ |
DKR6-RIPE |!_/ |
ICQ# 13047326 // \ \
XMPP:dkr6@jabber.ru (| | )
/'\_ _/`\
Powered by Linux \___)=(___/
-- Мысль --
Консерватор - человек, которому кажется, что ничто никогда не было
сделано впервые.
-- Юлиан Тувим
On Wed, 5 Apr 2006 13:12:09 +0500 Sergey wrote: К стати, со скриптописанием непогано справляется smartsieve ... Не идеал, конечно, но вполне подходит для общепита ... -- Best regards, Dmitriy L. Kruglikov .--. Dmitriy.Kruglikov@orionagro.com.ua |@_@ | DKR6-RIPE |!_/ | ICQ# 13047326 // \ \ XMPP:dkr6@jabber.ru (| | ) /'\_ _/`\ Powered by Linux \___)=(___/ -- Мысль -- Благоразумие в беседе важней, чем красноречие. -- Грасиан
On Wed, 5 Apr 2006 11:24:38 +0300 Dmitriy L. Kruglikov wrote:
> On Wed, 5 Apr 2006 13:12:09 +0500
> Sergey wrote:
>
> К стати, со скриптописанием непогано справляется smartsieve ...
> Не идеал, конечно, но вполне подходит для общепита ...
А еще в konqurieror'e набрать sieve://blah-blah/ :)
On Wed, 5 Apr 2006 11:22:13 +0300 Dmitriy L. Kruglikov wrote:
> On Wed, 5 Apr 2006 09:59:16 +0900
> Alexei Takaseev wrote:
>
> > В общем, кому хочется IMAP советую сразу по
> > ранжиру предпочтения: sylpheed (актуальные сборки под винду основной
> > ветки выходят наравне с линуховыми сборками), Мозилловские монстрики
> > и, как ни странно, Outlook.
>
> По опыту эксплуатации рекомендую Громоптицу...
> Сульфид под Вынь оставил грустные воспоминания... Подробностей не
> помню ... Что-то там со шрифтами было ...
Это, наверное, давно ставили. Официальная сборка под win32 появилась
только с версии 2.x.x, до этого были какие-то левые сборки от непонятных
товарисчей. Там да, все было весьма грустно.
On Wed, 05 Apr 2006 12:35:24 +0400, Alexei Takaseev <alexei@taf.ru> wrote: > Это, наверное, давно ставили. Официальная сборка под win32 появилась > только с версии 2.x.x, до этого были какие-то левые сборки от непонятных > товарисчей. Там да, все было весьма грустно. А ссылку не кинете? Гуглем нашел (второпях) версию 1.0.4.1 (claws), действительно грустно с именованием русских аттачментов в письмах. :-\ -- Using Opera's revolutionary e-mail client: http://www.opera.com/mail/
> этого почтового клиента... В общем, кому хочется IMAP советую сразу по
> ранжиру предпочтения: sylpheed (актуальные сборки под винду основной
> ветки выходят наравне с линуховыми сборками), Мозилловские монстрики и,
> как ни странно, Outlook.
Outlook как раз не советую, на очень большом количестве писем на имап он
отображает только первые сколько-то, около тысячи с хвостиком, а чаще даже и
падает.
On Wednesday 05 April 2006 16:31, kopilo4ka@gmail.com wrote:
> Outlook как раз не советую, на очень большом количестве писем на имап
> он отображает только первые сколько-то, около тысячи с хвостиком, а
> чаще даже и падает.
Я как-то на KMail пожаловался, на тормоза... Народ несколько удивился
пятизначным цифрам в фолдерах...
--
С уважением, Сергей
a_s_y@sama.ru
On Wed, 05 Apr 2006 14:06:55 +0400 Oleg Dolgov wrote: > On Wed, 05 Apr 2006 12:35:24 +0400, Alexei Takaseev > <alexei@taf.ru> wrote: > > > Это, наверное, давно ставили. Официальная сборка под win32 появилась > > только с версии 2.x.x, до этого были какие-то левые сборки от > > непонятных товарисчей. Там да, все было весьма грустно. > > А ссылку не кинете? Гуглем нашел (второпях) версию 1.0.4.1 (claws), > действительно грустно с именованием русских аттачментов в письмах. :-\ А на родном сайте смотрели? http://sylpheed.good-day.net/en/download.html
> Я как-то на KMail пожаловался, на тормоза... Народ несколько удивился
> пятизначным цифрам в фолдерах...
Ну да, слегка подтормаживает, но прекрасно у меня живет kmail на 5-значных
количествах писем.
On Wed, 05 Apr 2006 16:06:01 +0400, Alexei Takaseev <alexei@taf.ru> wrote: >> А ссылку не кинете? Гуглем нашел (второпях) версию 1.0.4.1 (claws), >> действительно грустно с именованием русских аттачментов в письмах. :-\ > А на родном сайте смотрели? > http://sylpheed.good-day.net/en/download.html Спасибо, только это не claws, а обычная ветка. У него нет фишки "запросить подстверждение доставки/прочтения". Будем смотреть других клиентов. -- Using Opera's revolutionary e-mail client: http://www.opera.com/mail/
Здравствуйте снова. Не могут разобраться в чем дело. При попытке скопировать письмо (клиент Sylpheed-Win32) из локальной папки в ИМАП пользователя выдается ошибка. Вернее при копировании всех писем 3 из 24-х даже проскачили. На 12-й консоли сервера при этом: open: user into opened INBOX.karbon error sending to idled: 2 затем при повторном заходе в ИМАП папку (не закрывая почтовую программу): open: user into opened INBOX.karbon SQUAT failed to open index file SQUAT failed Сообщение SQUAT дублируются 4 раза. Полез в /etc/imapd.conf Там указан путь idledsocket: /var/lib/imap/socket/idle практически равен {configdirectory}/socket/idle Но на самом деле никакого (папки/файла-сокета) по указанному пути нет. Кто его создает и как это исправить? -- Using Opera's revolutionary e-mail client: http://www.opera.com/mail/
On Thu, 06 Apr 2006 12:59:08 +0400, Oleg Dolgov <dolgov@mail.zp.ua> wrote: > Не могут разобраться в чем дело. > При попытке скопировать письмо (клиент Sylpheed-Win32) из локальной папки > в ИМАП пользователя выдается ошибка. Вернее при копировании всех писем 3 > из 24-х даже проскачили. > На 12-й консоли сервера при этом: > open: user into opened INBOX.karbon > error sending to idled: 2 > затем при повторном заходе в ИМАП папку (не закрывая почтовую программу): > open: user into opened INBOX.karbon > SQUAT failed to open index file > SQUAT failed > Сообщение SQUAT дублируются 4 раза. > Полез в /etc/imapd.conf > Там указан путь > idledsocket: /var/lib/imap/socket/idle > практически равен {configdirectory}/socket/idle > Но на самом деле никакого (папки/файла-сокета) по указанному пути нет. > Кто его создает и как это исправить? Пардон, с сокетом разобрался. В /etc/cyrus.conf строка с idled была закоментирована. Но проблему с копированием писем в папку это не решило. -- Using Opera's revolutionary e-mail client: http://www.opera.com/mail/
On Thu, 06 Apr 2006 12:59:08 +0400, Oleg Dolgov <dolgov@mail.zp.ua> wrote: > При попытке скопировать письмо (клиент Sylpheed-Win32) из локальной папки > в ИМАП пользователя выдается ошибка. Вернее при копировании всех писем 3 > из 24-х даже проскачили. Вернее только конкретные 3 из 24 всегда копируются, а на остальные Сильфида выдает "ошибка при обработке почты". Не помогло даже reconstruct user.into.karbon Вывод на 12-й консоли при этом остается неизменным, хотя эти 3 скопированных письма показывает. > На 12-й консоли сервера при этом: > open: user into opened INBOX.karbon > SQUAT failed to open index file > SQUAT failed > Сообщение SQUAT дублируются 4 раза. -- Using Opera's revolutionary e-mail client: http://www.opera.com/mail/
On Thu, 06 Apr 2006 14:13:36 +0400, Sergey <a_s_y@sama.ru> wrote: > On Thursday 06 April 2006 14:03, Oleg Dolgov wrote: > >> Но проблему с копированием писем в папку это не решило. > > А это точно не баг клиента ? У меня копируется (KMail) и я не > помню особых телодвижений на эту тему. > Клиентов я уже перепробовал... Win: Аутлук/Силфид/Опера-9/Seamonkey Последний вообще работать отказался. Выпадал по таймауту и даже дерево каталогов не получил. Linux: Sylpheed-claws-1.9.100 К стати вся почта изначально в нем и лежит. В Вин переносил экспорт/импорт mbox. На отрез отказывается проглатывать при копировании большинство сообщений. Максимум в папках до 1500 писем. Вчера пошел даже на крайние меры. Тупо скопировал письма из МН Сильфиды в папку ИМАП, сделал reconstruct, предварительно удалив индексы. После этого при открытии папки шла загрузка практически всех заголовков (в статусной строке клиента), но в итоге отобразилось далеко не всепеисьма. Клиента уже не вспомню, поздно было, уставший/злой :-\ Сегодня грохнул все mboxes и насоздавал заново. Результат тот-же, письма по хорошему не копируются. Что делать с сообщениями SQUAT на 12-й консоли? -- Using Opera's revolutionary e-mail client: http://www.opera.com/mail/
On Thursday 06 April 2006 14:03, Oleg Dolgov wrote:
> Но проблему с копированием писем в папку это не решило.
А это точно не баг клиента ? У меня копируется (KMail) и я не
помню особых телодвижений на эту тему.
--
С уважением, Сергей
a_s_y@sama.ru
On Thu, 06 Apr 2006 15:36:48 +0400, Alexei Takaseev <alexei@taf.ru> wrote: > Есть подозрение, что какое-то прояснение может возникнуть при изучении > заголовкой тех писем, что проскочили, и тех, чт нет. Сам уже об этом задумался. База писем за несколько лет. Сильфиды менялись несколько раз... малоли что с письмами могло произойти. А какой выход? Желательно все сохранить/вернуть/переслать локально... > На это можно внимания не образать. Демон ругается на отсутствие > необязательного индекса индекса. Если так сильно анонит, то пропишите в > /etc/cyrus.conf Вот за это огромное спасибо. Лишняя ругань напрягает. -- Using Opera's revolutionary e-mail client: http://www.opera.com/mail/
On Thu, 06 Apr 2006 15:36:48 +0400, Alexei Takaseev <alexei@taf.ru> wrote: > Есть подозрение, что какое-то прояснение может возникнуть при изучении > заголовкой тех писем, что проскочили, и тех, чт нет. Есть. Нашел отличие. В "плохих" письмах дублируется заголовок Return-Path. Теперь надо пройтись по всей базе писем и поудалять лишние строки из сообщений. Чем можно такое провернуть? Руками задолбаюсь... -- Using Opera's revolutionary e-mail client: http://www.opera.com/mail/
On Thu, 06 Apr 2006 13:09:46 +0400 Oleg Dolgov wrote: > On Thu, 06 Apr 2006 12:59:08 +0400, Oleg Dolgov > <dolgov@mail.zp.ua> wrote: > > > При попытке скопировать письмо (клиент Sylpheed-Win32) из локальной > > папки в ИМАП пользователя выдается ошибка. Вернее при копировании > > всех писем 3 из 24-х даже проскачили. > > Вернее только конкретные 3 из 24 всегда копируются, а на остальные > Сильфида выдает "ошибка при обработке почты". Не помогло даже > reconstruct user.into.karbon > > Вывод на 12-й консоли при этом остается неизменным, хотя эти 3 > скопированных письма показывает. Есть подозрение, что какое-то прояснение может возникнуть при изучении заголовкой тех писем, что проскочили, и тех, чт нет. > > На 12-й консоли сервера при этом: > > open: user into opened INBOX.karbon > > SQUAT failed to open index file > > SQUAT failed > > Сообщение SQUAT дублируются 4 раза. На это можно внимания не образать. Демон ругается на отсутствие необязательного индекса индекса. Если так сильно анонит, то пропишите в /etc/cyrus.conf EVENTS { .... squatter cmd="squatter -s" period=10 } и у вас раз в 10 минут будет производиться пересчитывание всех папок и перестройка этого индекса.
On Thu, 06 Apr 2006 16:27:04 +0400, Alexei Takaseev <alexei@taf.ru> wrote: > А как начнет напрягать сквоттер когда будет шерстить спул Серьезно? Машину грузит или тоже руганью заваливает? Если первое, тогда отключу. Машинка слабенькая... -- Using Opera's revolutionary e-mail client: http://www.opera.com/mail/
On Thu, 06 Apr 2006 15:07:53 +0400 Oleg Dolgov wrote: > On Thu, 06 Apr 2006 15:36:48 +0400, Alexei Takaseev > <alexei@taf.ru> wrote: > > > Есть подозрение, что какое-то прояснение может возникнуть при > > изучении заголовкой тех писем, что проскочили, и тех, чт нет. > > Сам уже об этом задумался. База писем за несколько лет. Сильфиды > менялись несколько раз... малоли что с письмами могло произойти. А > какой выход? Желательно все сохранить/вернуть/переслать локально... Просто попробуйте самостоятельно сравнить какие заголовки есть/нет в письмах, которые прошли и не прошли. > > На это можно внимания не образать. Демон ругается на отсутствие > > необязательного индекса индекса. Если так сильно анонит, то > > пропишите в /etc/cyrus.conf > > Вот за это огромное спасибо. Лишняя ругань напрягает. А как начнет напрягать сквоттер когда будет шерстить спул :)
On Thu, 06 Apr 2006 15:41:34 +0400 Oleg Dolgov wrote:
> On Thu, 06 Apr 2006 16:27:04 +0400, Alexei Takaseev
> <alexei@taf.ru> wrote:
>
> > А как начнет напрягать сквоттер когда будет шерстить спул
>
> Серьезно? Машину грузит или тоже руганью заваливает?
> Если первое, тогда отключу. Машинка слабенькая...
Грузит проц и диски. При том раз в 10 минут так будет вне зависимости от
пришла за этот момент новая почта, или не пришла.
On Thursday 06 April 2006 16:25, Oleg Dolgov wrote:
> Чем можно такое провернуть? Руками задолбаюсь...
А он нужен вообще ? Может его просто грохнуть везде ? Тогда grep.
--
С уважением, Сергей
a_s_y@sama.ru
On Thu, 06 Apr 2006 17:02:05 +0400, Sergey <a_s_y@sama.ru> wrote: > А он нужен вообще ? Не знаю, я не спец. Может и не нужен. > Может его просто грохнуть везде ? Тогда grep. А grep разве удалять умеет? Прошу прощения на наивный вопрос, но всегда думал, что он только для поиска, а удалением занимаются sed/subst/awk, так мо моему :-\ -- Using Opera's revolutionary e-mail client: http://www.opera.com/mail/
On Fri, 07 Apr 2006 10:37:09 +0400, Sergey <a_s_y@sama.ru> wrote: > [e]grep -v <шаблон строки> <файл> > <новый файл> Понял, попробую. Спасибо. -- Using Opera's revolutionary e-mail client: http://www.opera.com/mail/
On Fri, 07 Apr 2006 09:58:34 +0400, Oleg Dolgov <dolgov@mail.zp.ua> wrote: >> [e]grep -v <шаблон строки> <файл> > <новый файл> > Понял, попробую. Не помогло :-\ Причина наверное в другом. Вот понять бы в чем... -- Using Opera's revolutionary e-mail client: http://www.opera.com/mail/
On Friday 07 April 2006 10:04, Oleg Dolgov wrote:
> А grep разве удалять умеет? Прошу прощения на наивный вопрос, но всегда
> думал, что он только для поиска, а удалением занимаются sed/subst/awk, так
> мо моему :-\
[e]grep -v <шаблон строки> <файл> > <новый файл>
--
С уважением, Сергей
a_s_y@sama.ru
On Friday 07 April 2006 10:04, Oleg Dolgov wrote:
> > А он нужен вообще ?
>
> Не знаю, я не спец. Может и не нужен.
Да, забыл. Проверить надо, как Cyrus на это среагирует. А так Return-Path
вряд ли потребуется - в большинстве случаев он с From совпадает.
--
С уважением, Сергей
a_s_y@sama.ru
On Fri, 07 Apr 2006 10:34:16 +0400, Oleg Dolgov <dolgov@mail.zp.ua> wrote: >>> [e]grep -v <шаблон строки> <файл> > <новый файл> >> Понял, попробую. > Не помогло :-\ Причина наверное в другом. Вот понять бы в чем... Может где-то в логах цируса можно посмотреть? Только я не пойму как эти логи смотреть, они в каком-то своем формате (/var/lib/imap/log) и в mc ничего не понятно :-\ -- Using Opera's revolutionary e-mail client: http://www.opera.com/mail/
Здравствуйте. ALC 3.0 Монтирую вин2003 шары: mount -tcifs //server/Manufact2004 /var/ar/man -o ro,credentials=/etc/x.pwd,iocharset=utf8 mount -tcifs //server/ЗиК_Мануфактура2004 /var/ar/zik -o ro,credentials=/etc/x.pwd,iocharset=utf8 mount -tcifs //server/ВыработкаПредложение2004 /var/ar/vyr -o ro,credentials=/etc/x.pwd,iocharset=utf8 через некоторое время (час-два) /var/ar/zik и /var/ar/vyr превращаются в файлы размером под 500Гигов %( а в messages появляется: Apr 7 11:13:24 www winbindd[5943]: [2006/04/07 11:13:24, 0] lib/util_sock.c:write_data(559) Apr 7 11:13:24 www winbindd[5943]: write_data: write failure. Error = Connection reset by peer Apr 7 11:13:24 www winbindd[5943]: [2006/04/07 11:13:24, 0] libsmb/clientgen.c:write_socket(138) Apr 7 11:13:24 www winbindd[5943]: write_socket: Error writing 190 bytes to socket 3: ERRNO = Connection reset by peer Apr 7 11:13:24 www winbindd[5943]: [2006/04/07 11:13:24, 0] libsmb/clientgen.c:cli_send_smb(168) Apr 7 11:13:24 www winbindd[5943]: Error writing 190 bytes to client. -1 (Connection reset by peer) Apr 7 11:13:24 www winbindd[5943]: [2006/04/07 11:13:24, 0] rpc_client/cli_pipe.c:rpc_api_pipe(790) Apr 7 11:13:24 www winbindd[5943]: rpc_api_pipe: Remote machine SERVER pipe \NETLOGON fnum 0x800creturned critical error. Error was Write error: Connection reset by peer Что-бы это значило -- С уважением, Алексей mailto:alex@reutman.ru
On Friday 07 April 2006 11:34, Oleg Dolgov wrote:
> Не помогло :-\ Причина наверное в другом. Вот понять бы в чем...
А можно мне письмо какое-нибудь прислать, которое не копируется ?
--
С уважением, Сергей
a_s_y@sama.ru
On Wed, 5 Apr 2006 12:58:27 +0500 Sergey wrote:
> По последнему. Пример (совсем грубый):
>
> ==============
> require ["fileinto","reject"];
>
> if not exists ["From", "Date"] {
> fileinto "INBOX/_spam";
> stop;
> }
>
> if address :contains ["To","Cc"] [
> "sisyphus-cybertalk@lists.altlinux.org"
> ] {
> fileinto "INBOX/Mail-Lists/ALT/sisyphus-cybertalk";
Из примера вытекает, что выше INBOX пользователя SIEVE подняться не
может. Получается, что он не разложит письма по независимым
расшаренным папкам? Только в пределах user.vasia?
Накрылась моя идея общих папок :-\ Придется раздавать Васины на
чтение...
--
С наилучшими,
Олег Долгов
<dolgov AT mail DOT zp DOT ua>
Registered Linux user #315454
On Tue, 4 Apr 2006 20:18:21 +0500 Sergey wrote:
> Опера не совсем подходит из-за отсутствия фишки
> > "подтверждение доставки", а она критична в ряде случаев.
>
> С подтверждением доставки справится Sieve,
Каким образом, если не затруднит?
Мне надо при отправке на конкретные адреса всегда запрашивать
подтверждение о доставке, а на остальные по желанию (с пормощью
клиента, остановился пока на seamonkey).
--
С наилучшими,
Олег Долгов
<dolgov AT mail DOT zp DOT ua>
Registered Linux user #315454
Здравствуйте. -- С уважением, Алексей mailto:alex@reutman.ru
Сидоров Алексей wrote:
> Здравствуйте.
> ALC 3.0
>
> Монтирую вин2003 шары:
> mount -tcifs //server/Manufact2004 /var/ar/man -o ro,credentials=/etc/x.pwd,iocharset=utf8
> mount -tcifs //server/ЗиК_Мануфактура2004 /var/ar/zik -o ro,credentials=/etc/x.pwd,iocharset=utf8
> mount -tcifs //server/ВыработкаПредложение2004 /var/ar/vyr -o ro,credentials=/etc/x.pwd,iocharset=utf8
>
> через некоторое время (час-два) /var/ar/zik и /var/ar/vyr превращаются в файлы размером под 500Гигов %(
> а в messages появляется:
> Apr 7 11:13:24 www winbindd[5943]: [2006/04/07 11:13:24, 0] lib/util_sock.c:write_data(559)
> Apr 7 11:13:24 www winbindd[5943]: write_data: write failure. Error = Connection reset by peer
> Apr 7 11:13:24 www winbindd[5943]: [2006/04/07 11:13:24, 0] libsmb/clientgen.c:write_socket(138)
> Apr 7 11:13:24 www winbindd[5943]: write_socket: Error writing 190 bytes to socket 3: ERRNO = Connection reset by peer
> Apr 7 11:13:24 www winbindd[5943]: [2006/04/07 11:13:24, 0] libsmb/clientgen.c:cli_send_smb(168)
> Apr 7 11:13:24 www winbindd[5943]: Error writing 190 bytes to client. -1 (Connection reset by peer)
> Apr 7 11:13:24 www winbindd[5943]: [2006/04/07 11:13:24, 0] rpc_client/cli_pipe.c:rpc_api_pipe(790)
> Apr 7 11:13:24 www winbindd[5943]: rpc_api_pipe: Remote machine SERVER pipe \NETLOGON fnum 0x800creturned critical error. Error was Write error: Connection reset by peer
>
> Что-бы это значило
1. Лучше бы это в samba@ рассылку.
2. А нельзя ли побольше дебаг поставить в конфиге?
On Friday 07 April 2006 14:23, Oleg Dolgov wrote:
> > С подтверждением доставки справится Sieve,
>
> Каким образом, если не затруднит?
>
> Мне надо при отправке на конкретные адреса
А, при отправке... Тогда нет. Я думал, речь про получение.
--
С уважением, Сергей
a_s_y@sama.ru
В сообщении от 7 апреля 2006 13:34 Avramenko Andrew написал(a):
> 1. Лучше бы это в samba@ рассылку.
Ok
И еще вопрос такой -
в твоём ответе, пришедшем с sysadmins@lists.altlinux.org в обратном адресе
стояло твоё мыло, а не рассылки.
Это нормально?
--
С уважением, Алексей. mailto:alex@reutman.ru
Сидоров Алексей wrote:
> В сообщении от 7 апреля 2006 13:34 Avramenko Andrew написал(a):
>
>>1. Лучше бы это в samba@ рассылку.
>
>
> Ok
>
> И еще вопрос такой -
> в твоём ответе, пришедшем с sysadmins@lists.altlinux.org в обратном адресе
> стояло твоё мыло, а не рассылки.
> Это нормально?
>
Тебе должно было прийти два письма, одно лично тебе, второе в рассылку
(и соответственно тоже тебе). Почему при нажатии кнопки ответить он
пишет и туда и туда, я не знаю. Обычно пишет только в рассылку.
Sergey пишет:
> On Friday 07 April 2006 11:34, Oleg Dolgov wrote:
>
>> Не помогло :-\ Причина наверное в другом. Вот понять бы в чем...
>
> А можно мне письмо какое-нибудь прислать, которое не копируется ?
>
Пришел образец в личку? Есть мысли о причине?
А то у меня пока закончились :-\
Oleg Dolgov пишет:
> On Wed, 5 Apr 2006 12:58:27 +0500 Sergey wrote:
>
>>По последнему. Пример (совсем грубый):
>>
>>==============
>>require ["fileinto","reject"];
>>
>>if not exists ["From", "Date"] {
>> fileinto "INBOX/_spam";
>> stop;
>>}
>>
>>if address :contains ["To","Cc"] [
>> "sisyphus-cybertalk@lists.altlinux.org"
>> ] {
>> fileinto "INBOX/Mail-Lists/ALT/sisyphus-cybertalk";
>
>
> Из примера вытекает, что выше INBOX пользователя SIEVE подняться не
> может. Получается, что он не разложит письма по независимым
> расшаренным папкам? Только в пределах user.vasia?
> Накрылась моя идея общих папок :-\ Придется раздавать Васины на
> чтение...
Всё можно: у меня -- работает. Делел через альтернативное простраство
имён.
PS: Пример смогу прислать, как из командировки вернусь...
--
С уважением. Алексей.
Aleksey Avdeev пишет:
> Всё можно: у меня -- работает. Делел через альтернативное простраство
> имён.
>
> PS: Пример смогу прислать, как из командировки вернусь...
Очень хотелось бы.
У меня всу почту собирает fetchmail с внешних почтовых ящиков и отдает
одному локальному пользователю. Вот и хочется заставить sieve письма
раскидывать не только в пределах ИНБОКСА этого пользователя, а и в папки
остальных пользователей.
Можно конечно попросить fetchmail отдавать почту разным пользователям
cyrus, но есть проблема, с которой сегодня столкнулся: unix-пользователи
не совпадают с cyrus-пользователями. Вернее один совпадает, а остальные
по разному именуются. Поэтому postfix выругался на отсутствие локального
юзера и отправил письмо postmaster, который совпадает с цирусом. В
результате-то письмо упало в ящик этому unix=cyrus, но в логе лишняя
ругань получилась.
Или можно как-то по другому добиться, чтобы почта для unix-user попадала
в ящик cyrus-user. При условии, что unix-user<>cyrus-user.
С уважением,
Олег Долгов
On Friday 07 April 2006 16:01, Oleg Dolgov wrote:
> > А можно мне письмо какое-нибудь прислать, которое не копируется ?
> >
> Пришел образец в личку? Есть мысли о причине?
В 15:57 GMT+5 ответил. Там первая строчка не к месту.
--
С уважением, Сергей
a_s_y@sama.ru
Можно вопрос не в тему? Как заставить fetchmail стартовать при запуске системы и куда при этом ложить .fetchmailrc? Или перефразирую вопрос: куда и как прописать команду запуска fetchmail при старте системы, чтобы он запускался от имени пользователя, даже если этот пользователь не вошел в систему? Он работает в связке с mailfilter, поэтому .mailfilterrc тоже ищется в каталоге пользователя, который стартонул fetchmail С уважением, Олег Долгов
On Fri, 07 Apr 2006 14:42:47 +0300
Oleg Dolgov wrote:
> Можно вопрос не в тему?
> Как заставить fetchmail стартовать при запуске системы и куда при этом
> ложить .fetchmailrc?
>
.fetchmailrc положи в хоме юзверя, и запускай по крону
А в /var/spool/cron/username напиши типа
*/10 * * * * fetchmail -p POP3 --ssl -s
-f /home/username/.fetchmailrc >/dev/null 2>&1
Ну или как понравится ...
А при запуске - самое место в rc.local ...
Он последним отрабатывает при старте ...
--
Best regards,
Dmitriy L. Kruglikov .--.
Dmitriy.Kruglikov@orionagro.com.ua |@_@ |
DKR6-RIPE |!_/ |
ICQ# 13047326 // \ \
XMPP:dkr6@jabber.ru (| | )
/'\_ _/`\
Powered by Linux \___)=(___/
-- Мысль --
Если у тебя есть счетная линейка, а кто-то приходит с громкими словами
или с великими чувствами, ты говоришь: "Минуточку, вычислим сначала
пределы погрешности и вероятную стоимость всего этого!".
-- Р.Музиль
[-- Attachment #1: Type: text/plain, Size: 613 bytes --] On Fri, Apr 07, 2006 at 02:42:47PM +0300, Oleg Dolgov wrote: > Как заставить fetchmail стартовать при запуске системы apt-get install fetchmail-daemon > и куда при этом ложить .fetchmailrc? В хоумы. > Или перефразирую вопрос: куда и как прописать команду запуска fetchmail > при старте системы, чтобы он запускался от имени пользователя, даже если > этот пользователь не вошел в систему? Именно так. -- WBR, wRAR (ALT Linux Team) Powered by the ALT Linux fortune(8): - У Вас вирусы есть? - А как же! - А чем Вы их лечите? - А чего их лечить, они у нас здоровые. -- jaa in community@ [-- Attachment #2: Digital signature --] [-- Type: application/pgp-signature, Size: 191 bytes --]
[-- Attachment #1: Type: text/plain, Size: 363 bytes --] On Fri, Apr 07, 2006 at 02:48:16PM +0300, Dmitriy L. Kruglikov wrote: > .fetchmailrc положи в хоме юзверя, и запускай по крону Ужас. -- WBR, wRAR (ALT Linux Team) Powered by the ALT Linux fortune(8): > Или, участники рассылки пишут вопросы по, к примеру, ядру Васе, по иксам > Пете ))) И по ядру Пете, и по иксам Пете :)) -- voins in community@ [-- Attachment #2: Digital signature --] [-- Type: application/pgp-signature, Size: 191 bytes --]
Dmitriy L. Kruglikov пишет: > On Fri, 07 Apr 2006 14:42:47 +0300 > Oleg Dolgov wrote: > >> Можно вопрос не в тему? >> Как заставить fetchmail стартовать при запуске системы и куда при этом >> ложить .fetchmailrc? >> > .fetchmailrc положи в хоме юзверя, и запускай по крону > А в /var/spool/cron/username напиши типа > */10 * * * * fetchmail -p POP3 --ssl -s > -f /home/username/.fetchmailrc >/dev/null 2>&1 Зачем по крону? Запускаю в режиме демона с просыпанием каждые 10 мин. > А при запуске - самое место в rc.local ... > Он последним отрабатывает при старте ... Вот об этом и подумал, но как написать "запускай от имени Вася, т.к. файл настроек лежит у него"? Или если я укажу в каманде запуска путь к rc, то он сам поймет, что работаем от имени Вася? Тогда и mailfilter также запустится от Васи и найдет правила в Васином хомяке.
On Fri, 07 Apr 2006 14:57:02 +0300
Oleg Dolgov wrote:
>
> Зачем по крону? Запускаю в режиме демона с просыпанием каждые 10 мин.
>
А вот тогда, при старте, anacron увидит задания, которые не были
выполнены и запустит их .... От имени "Вася" ... :)
Кроме того, в /home/username/.fetchmailrc написано что-то типа
is "vasiya" here ...
Так что, почта свалится ему, даже если запущено от root ...
Думаю, нормально отработают все варианты ...
--
Best regards,
Dmitriy L. Kruglikov .--.
Dmitriy.Kruglikov@orionagro.com.ua |@_@ |
DKR6-RIPE |!_/ |
ICQ# 13047326 // \ \
XMPP:dkr6@jabber.ru (| | )
/'\_ _/`\
Powered by Linux \___)=(___/
-- Мысль --
Окружение пешек рождает иллюзию, что ты король.
-- Геннадий Малкин
On Fri, 7 Apr 2006 17:53:09 +0600 Andrey Rahmatullin wrote:
> > Как заставить fetchmail стартовать при запуске системы
> apt-get install fetchmail-daemon
>
> > и куда при этом ложить .fetchmailrc?
> В хоумы.
Спасибо. Именно так и работало раньше. Подзабыл просто, давно
настраивал.
--
С наилучшими,
Олег Долгов
<dolgov AT mail DOT zp DOT ua>
Registered Linux user #315454
Что-то меня sieveshell не пускает. Причину понят не могу, на 12-й консолиничего нет. $ sieveshell -u into into.localdomain connecting to into.localdomain connect: Connection refused unable to connect to server at /usr/bin/sieveshell line 169. Пользователь into это тот, которому хочу скрипт положить. Дажепароль не спрашивает. Может где-то в конфигах чего пропустил? -- С наилучшими, Олег Долгов <dolgov AT mail DOT zp DOT ua> Registered Linux user #315454
[-- Attachment #1: Type: text/plain, Size: 453 bytes --] Oleg Dolgov пишет: > Aleksey Avdeev пишет: > >> Всё можно: у меня -- работает. Делел через альтернативное простраство >>имён. >> >>PS: Пример смогу прислать, как из командировки вернусь... > > > Очень хотелось бы. OK: if allof (header :contains "List-Id" "sysadmins.lists.altlinux.org") { fileinto "Shared Folders.Linux.ALT.Sysadmins"; } Так у меня в общие папки попадает данная рассылка. -- С уважением. Алексей. [-- Attachment #2: OpenPGP digital signature --] [-- Type: application/pgp-signature, Size: 550 bytes --]
On Sat, 08 Apr 2006 12:42:18 +0400, Aleksey Avdeev <solo@solin.spb.ru> wrote: > OK: > > if allof (header :contains "List-Id" "sysadmins.lists.altlinux.org") { > fileinto "Shared Folders.Linux.ALT.Sysadmins"; > } > > Так у меня в общие папки попадает данная рассылка. А как эти папки в иерархии цируса создавались? cm Shared Folders.Linux.ALT.Sysadmins? Параметр префикса расшаренных папок в imap.conf я видел, но как создать эти расшаренные папки? -- Using Opera's revolutionary e-mail client: http://www.opera.com/mail/
Привет. расскажите где почитать про это, если есть такое место конечно.. я слышал что есть такие самоподписные сертификаты... но вот прикол в том, что у нас в конторе слишком много есть сервисов... (больше 10, а мажет даже 5 десятков, еще не разгребал масштабы) поэтому, я так полагаю что удобнее поставить один сервер сертификатов, и им уже выдавать другим смертным сертификаты... извините за неточности в вормулировках... вообще, расскажите, как это делают правильно... ссылки, которые мас показались удачными, буду рад поглядеть... спасибо. -- С уважением, Макс.
[-- Attachment #1: Type: text/plain, Size: 1049 bytes --] Maks Re пишет: > Привет. > > расскажите где почитать про это, если есть такое место конечно.. > > я слышал что есть такие самоподписные сертификаты... > но вот прикол в том, что у нас в конторе слишком много есть > сервисов... (больше 10, а мажет даже 5 десятков, еще не разгребал > масштабы) > > поэтому, я так полагаю что удобнее поставить один сервер сертификатов, > и им уже выдавать другим смертным сертификаты... > > извините за неточности в вормулировках... > > > вообще, расскажите, как это делают правильно... > ссылки, которые мас показались удачными, буду рад поглядеть... Ключевые слова: PKI, PKIX, x509, Certificate Authority, SSL, TLS. В качестве софта на начальной стадии рекомендую openssl demoCA. Оно входит в комплект openssl и живет кажется где-то в /usr/share. Если надо чтобы был GUI, тогда можно попробовать TinyCA - это GTK-морда к OpenSSL. Я сейчас изучаю RedHat Certificate System(в девичестве Netscape), но это уже для больших установок. К тому же оно платное и весьма недешевое!.. [-- Attachment #2: OpenPGP digital signature --] [-- Type: application/pgp-signature, Size: 189 bytes --]
[-- Attachment #1: Type: text/plain, Size: 733 bytes --] Oleg Dolgov пишет: > On Sat, 08 Apr 2006 12:42:18 +0400, Aleksey Avdeev > <solo@solin.spb.ru> wrote: > >> OK: >> >>if allof (header :contains "List-Id" "sysadmins.lists.altlinux.org") { >> fileinto "Shared Folders.Linux.ALT.Sysadmins"; >>} >> >> Так у меня в общие папки попадает данная рассылка. > > > А как эти папки в иерархии цируса создавались? > > cm Shared Folders.Linux.ALT.Sysadmins? > > Параметр префикса расшаренных папок в imap.conf я видел, но как создать > эти расшаренные папки? > Вообще без префикса. Конкретно, эта: ==== ... > lm ... Linux.ALT.Sysadmins (\HasNoChildren) ... ==== У меня в /etc/imapd.conf: altnamespace: 1 -- С уважением. Алексей. [-- Attachment #2: OpenPGP digital signature --] [-- Type: application/pgp-signature, Size: 550 bytes --]
> Ключевые слова: > > PKI, PKIX, x509, Certificate Authority, SSL, TLS. это я догадался %) мне бы немного теории на нашенском... > > В качестве софта на начальной стадии рекомендую openssl demoCA. Оно > входит в комплект openssl и живет кажется где-то в /usr/share. Если надо > чтобы был GUI, тогда можно попробовать TinyCA - это GTK-морда к OpenSSL. спа. будем тыкаться. > Я сейчас изучаю RedHat Certificate System(в девичестве Netscape), но это > уже для больших установок. К тому же оно платное и весьма недешевое!.. больших - это на сколько? а недешевое - порядок какой? ЗЫ: хотя наши жидовское руководство еще не раскошелилось на 3des для PIX`а, только еще des ходим -- С уважением, Макс.
Oleg Dolgov пишет:
> Что-то меня sieveshell не пускает. Причину понят не могу, на 12-й
> консолиничего нет.
>
> $ sieveshell -u into into.localdomain
> connecting to into.localdomain
> connect: Connection refused
> unable to connect to server at /usr/bin/sieveshell line 169.
>
> Пользователь into это тот, которому хочу скрипт положить. Дажепароль не
> спрашивает. Может где-то в конфигах чего пропустил?
Не спас меня Ваш скрипт. Не пускает sieve. Где искать проблему? Что
посмотреть.
Попробовал в cyrus.conf поставить prefork=1 для sieve. Не помогло.
С уважением,
Олег Долгов
On Sat, 08 Apr 2006 14:22:36 +0300
Oleg Dolgov wrote:
>
> Попробовал в cyrus.conf поставить prefork=1 для sieve. Не помогло.
>
А сам sieve на 2000 порту виден?
И попробуй smartsieve поставить ...
Он весьма удобен ...
--
Best regards,
Dmitriy L. Kruglikov .--.
Dmitriy.Kruglikov@orionagro.com.ua |@_@ |
DKR6-RIPE |!_/ |
ICQ# 13047326 // \ \
XMPP:dkr6@jabber.ru (| | )
/'\_ _/`\
Powered by Linux \___)=(___/
-- Мысль --
Лавры - это наркотическое средство, которое многим мешает спать.
-- Поль Декурсель
[-- Attachment #1: Type: text/plain, Size: 699 bytes --] Maks Re пишет: >>Ключевые слова: >> >>PKI, PKIX, x509, Certificate Authority, SSL, TLS. > > > это я догадался %) > > мне бы немного теории на нашенском... Ну это я не знаю. Я старался читать оригиналы. >>Я сейчас изучаю RedHat Certificate System(в девичестве Netscape), но это >>уже для больших установок. К тому же оно платное и весьма недешевое!.. > > больших - это на сколько? Ну скажем где надо не меньше 1000 сертификатов... То есть это конечно не 1000 сервисов. Обычно такие цифры достигаются при выдаче персональных сертификатов каждому пользователю. > а недешевое - порядок какой? http://rhd.ru/request.php?MCT0697#MCT0697 То есть примерно от $35k. [-- Attachment #2: OpenPGP digital signature --] [-- Type: application/pgp-signature, Size: 189 bytes --]
On Sat, 8 Apr 2006 14:16:28 +0400
Maks Re wrote:
> Привет.
>
> расскажите где почитать про это, если есть такое место конечно..
>
> я слышал что есть такие самоподписные сертификаты...
Подпишусь под вопросом.
Создать самоподписной сертификат не сложно ...
Но вот только многие программы ругаются на то, что этот сертификат
недействителен ... Или отказываются его принимать автоматически ...
И, если я сам себе выдаю сертификаты для своих сервисов, то мне бы и
центр свой нужен ...
Более того, нам бы свой центр сертификации в сети поиметь, а то даже у
lists.altlinux.ru самоподписной сертификат, и Firefox об этом каждый
раз ехидно напоминает ...
Давайте решать проблему сообща ...
--
Best regards,
Dmitriy L. Kruglikov .--.
Dmitriy.Kruglikov@orionagro.com.ua |@_@ |
DKR6-RIPE |!_/ |
ICQ# 13047326 // \ \
XMPP:dkr6@jabber.ru (| | )
/'\_ _/`\
Powered by Linux \___)=(___/
-- Мысль --
Хороший пример - наилучшая проповедь.
-- Английская пословица; Жан Стобе
On Sat, 8 Apr 2006 14:29:24 +0300 Dmitriy L. Kruglikov wrote:
> А сам sieve на 2000 порту виден?
Не виден. umap не показал ни на 127.0.0.1 ни на внутреннем IP.
Не запускается? Где искать причину?
--
С наилучшими,
Олег Долгов
<dolgov AT mail DOT zp DOT ua>
Registered Linux user #315454
On Sat, 8 Apr 2006 15:15:52 +0300
Oleg Dolgov wrote:
> Не виден. umap не показал ни на 127.0.0.1 ни на внутреннем IP.
> Не запускается? Где искать причину?
У тебя раскоментирована строка :
sieve cmd="timsieved" listen="sieve" prefork=0
В /etc/cyrus.conf ?
При загрузке в логах есть что-нибудь?
--
Best regards,
Dmitriy L. Kruglikov .--.
Dmitriy.Kruglikov@orionagro.com.ua |@_@ |
DKR6-RIPE |!_/ |
ICQ# 13047326 // \ \
XMPP:dkr6@jabber.ru (| | )
/'\_ _/`\
Powered by Linux \___)=(___/
-- Мысль --
Мудрый человек всегда на стороне тех, кто нападает на него; он
заинтересован больше их в обнаружении своих слабостей.
-- Эмерсон
On Sat, 8 Apr 2006 15:36:30 +0300 Dmitriy L. Kruglikov wrote:
> On Sat, 8 Apr 2006 15:15:52 +0300
> Oleg Dolgov wrote:
>
> > Не виден. umap не показал ни на 127.0.0.1 ни на внутреннем IP.
> > Не запускается? Где искать причину?
> У тебя раскоментирована строка :
> sieve cmd="timsieved" listen="sieve" prefork=0
> В /etc/cyrus.conf ?
> При загрузке в логах есть что-нибудь?
А еще интересно что выводится при:
grep sieve /etc/services
а так же rpm -qf /etc/services
On Sat, 8 Apr 2006 21:51:12 +0900 Alexei Takaseev wrote: > А еще интересно что выводится при: > > grep sieve /etc/services Ничего не выводит :-\ Надо как-то добавить? > > а так же rpm -qf /etc/services setup-2.2.5-alt1 -- С наилучшими, Олег Долгов <dolgov AT mail DOT zp DOT ua> Registered Linux user #315454
On Sat, 8 Apr 2006 16:12:44 +0300
Oleg Dolgov wrote:
> On Sat, 8 Apr 2006 21:51:12 +0900 Alexei Takaseev wrote:
> > А еще интересно что выводится при:
> >
> > grep sieve /etc/services
>
> Ничего не выводит :-\ Надо как-то добавить?
>
Sieve в составе cyrus-imap сервера ....
Так что, если сам cyrus стартует, то сервис sieve запускается вместе с
ним, если строка, которую я приводил ранее, раскоментирована ...
Проверь ...
--
Best regards,
Dmitriy L. Kruglikov .--.
Dmitriy.Kruglikov@orionagro.com.ua |@_@ |
DKR6-RIPE |!_/ |
ICQ# 13047326 // \ \
XMPP:dkr6@jabber.ru (| | )
/'\_ _/`\
Powered by Linux \___)=(___/
-- Мысль --
Будь же ты вовек благословенно,
Что пришло процвесть и умереть.
-- С.Есенин
On Sat, 8 Apr 2006 16:17:28 +0300 Dmitriy L. Kruglikov wrote:
> On Sat, 8 Apr 2006 16:12:44 +0300
> Oleg Dolgov wrote:
>
> > On Sat, 8 Apr 2006 21:51:12 +0900 Alexei Takaseev wrote:
> > > А еще интересно что выводится при:
> > >
> > > grep sieve /etc/services
> >
> > Ничего не выводит :-\ Надо как-то добавить?
> >
> Sieve в составе cyrus-imap сервера ....
> Так что, если сам cyrus стартует, то сервис sieve запускается вместе с
> ним, если строка, которую я приводил ранее, раскоментирована ...
> Проверь ...
Строка-то раскоментирована. Я уже писал, что даже пытался менять
prefork с 0 на 1. Реакции ноль.
Там в строке cmd="timsieved" В /usr/lib/cyrus/timsieved присутствует.
При 'service cyrus-imapd start' на 12-й консоли куча сообщений вида
about to exec /usr/lib/cyrus/imapd
executed
А вот про sieve тишина.
Строка в /etc/cyrus.conf
sieve cmd="timsieved" listen="sieve" prefork=0
раскоментирована.
--
С наилучшими,
Олег Долгов
<dolgov AT mail DOT zp DOT ua>
Registered Linux user #315454
On Sat, 8 Apr 2006 16:12:44 +0300 Oleg Dolgov wrote:
> On Sat, 8 Apr 2006 21:51:12 +0900 Alexei Takaseev wrote:
> > А еще интересно что выводится при:
> >
> > grep sieve /etc/services
>
> Ничего не выводит :-\ Надо как-то добавить?
>
> >
> > а так же rpm -qf /etc/services
>
> setup-2.2.5-alt1
Понятно. Описание sieve добавлено уже после выхода ALM24
лечится просто:
# cat >> /etc/service
sieve 2000/tcp
sieve 2000/udp
^D
и
# service cyrus-imapd restart
On Sat, 8 Apr 2006 16:46:04 +0300 Oleg Dolgov wrote: > При 'service cyrus-imapd start' на 12-й консоли куча сообщений вида > about to exec /usr/lib/cyrus/imapd > executed > > А вот про sieve тишина. Попробовал просто стартануть timsieved. В лог выпало: timsieved: could not getenv(CYRUS_SERVICE); exiting > Строка в /etc/cyrus.conf > sieve cmd="timsieved" listen="sieve" prefork=0 > раскоментирована. -- С наилучшими, Олег Долгов <dolgov AT mail DOT zp DOT ua> Registered Linux user #315454
On Sat, 8 Apr 2006 16:46:04 +0300
Oleg Dolgov wrote:
> Там в строке cmd="timsieved" В /usr/lib/cyrus/timsieved присутствует.
> При 'service cyrus-imapd start' на 12-й консоли куча сообщений вида
> about to exec /usr/lib/cyrus/imapd
> executed
>
> А вот про sieve тишина.
Проверь наличие каталогов и права на них.
Путь к каталогу скриптов прописан в /etc/imapd.conf ...
Например:
sievedir: /var/lib/imap/sieve
А права у меня cyrus.cyrus 500
--
Best regards,
Dmitriy L. Kruglikov .--.
Dmitriy.Kruglikov@orionagro.com.ua |@_@ |
DKR6-RIPE |!_/ |
ICQ# 13047326 // \ \
XMPP:dkr6@jabber.ru (| | )
/'\_ _/`\
Powered by Linux \___)=(___/
-- Мысль --
Афоризм - это хорошо отредактированный роман.
-- Владимир Голобородько
On Sat, 8 Apr 2006 22:46:59 +0900 Alexei Takaseev wrote:
> лечится просто:
>
> # cat >> /etc/service
> sieve 2000/tcp
> sieve 2000/udp
> ^D
Вылесилось :-)
Спасибо.
--
С наилучшими,
Олег Долгов
<dolgov AT mail DOT zp DOT ua>
Registered Linux user #315454
On Sat, Apr 08, 2006 at 02:54:40PM +0300, Dmitriy L. Kruglikov wrote: > Более того, нам бы свой центр сертификации в сети поиметь, а то > даже у lists.altlinux.ru самоподписной сертификат, и Firefox об > этом каждый раз ехидно напоминает ... Это не альтовский firefox ;-) -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/
Avramenko Andrew wrote:
> Почему при нажатии кнопки ответить он
> пишет и туда и туда, я не знаю. Обычно пишет только в рассылку.
потому что подписчики сами ставят reply-to: в своих заголовках,
совпадающие с их From:
--
У каждого в башке свои тараканы...
On Sun, 9 Apr 2006 19:26:55 +0300
Michael Shigorin wrote:
> On Sat, Apr 08, 2006 at 02:54:40PM +0300, Dmitriy L. Kruglikov wrote:
> > Более того, нам бы свой центр сертификации в сети поиметь, а то
> > даже у lists.altlinux.ru самоподписной сертификат, и Firefox об
> > этом каждый раз ехидно напоминает ...
>
> Это не альтовский firefox ;-)
>
Ну, какой был в репозитории, такой и поставил ...
--
Best regards,
Dmitriy L. Kruglikov .--.
Dmitriy.Kruglikov@orionagro.com.ua |@_@ |
DKR6-RIPE |!_/ |
ICQ# 13047326 // \ \
XMPP:dkr6@jabber.ru (| | )
/'\_ _/`\
Powered by Linux \___)=(___/
-- Мысль --
Если бы не было очередей, где бы люди проводили свободное время?
-- Михаил Задорнов
Aleksey Avdeev пишет:
>> Очень хотелось бы.
>
> OK:
>
> if allof (header :contains "List-Id" "sysadmins.lists.altlinux.org") {
> fileinto "Shared Folders.Linux.ALT.Sysadmins";
> }
>
> Так у меня в общие папки попадает данная рассылка.
А как попросить sieve переложить письмо в ИНБОКС другого пользователя?
fileinto "Shared Folders.user.vasia";
?
Главное права дать пересылающему пользователю на вставку/копирование?
Правильно? Или такое не практикуется/неиспользуется?
С уважением,
Олег Долгов
On Mon, 10 Apr 2006 11:54:08 +0300 Oleg Dolgov wrote: > Aleksey Avdeev пишет: > > А как попросить sieve переложить письмо в ИНБОКС другого пользователя? > > fileinto "Shared Folders.user.vasia"; > > ? > > Главное права дать пересылающему пользователю на вставку/копирование? > Правильно? Правильно... Только на чтение права давать не нужно :) Только "user.vasia" - домашняя папка пользователя... Не "Shared Folders" ... > Или такое не практикуется/неиспользуется? Ну .... На практиковалось и не использовалось, у меня, к примеру... Но это не означает, что у тебя этого не может быть :) Если тебе нужно, и ты это сделаешь, то у тебя будет практиковаться и использоваться ... Это ж UNIX .... Ты root, значить ты крут :) -- Best regards, Dmitriy L. Kruglikov .--. Dmitriy.Kruglikov@orionagro.com.ua |@_@ | DKR6-RIPE |!_/ | ICQ# 13047326 // \ \ XMPP:dkr6@jabber.ru (| | ) /'\_ _/`\ Powered by Linux \___)=(___/ -- Мысль -- Мораль - это важничанье человека перед природой. -- Фридрих Ницше
Aleksey Avdeev пишет: > Скорее так: > > fileinto "user.vasia"; > > Но будет ли работать -- незнаю. Сработало вот так: fileinto "Other Users.vasia"; >> >> Главное права дать пересылающему пользователю на вставку/копирование? >> Правильно? Или такое не практикуется/неиспользуется? > > Именно такое (перекладывание в папку другого пользователя) -- не > использую. PS. Можно браться за статью на wiki :-) СтОит или эта нетривиальная задача никому не понадобится? -- C уважением, Олег Долгов
On Monday 10 April 2006 15:29, Oleg Dolgov wrote:
> PS. Можно браться за статью на wiki :-)
> СтОит или эта нетривиальная задача никому не понадобится?
Думаю стоит. Вполне пойдёт как "Cyrus-IMAP/sieve quick start guide/
quick restore guide". :-)
--
С уважением, Сергей
a_s_y@sama.ru
Aleksey Avdeev пишет:
> Sergey пишет:
>> On Monday 10 April 2006 15:29, Oleg Dolgov wrote:
>>
>>
>>> PS. Можно браться за статью на wiki :-)
>>> СтОит или эта нетривиальная задача никому не понадобится?
>>
>> Думаю стоит. Вполне пойдёт как "Cyrus-IMAP/sieve quick start guide/
>> quick restore guide". :-)
>
> +1
Я вообще думал описать свое решение небольшой "корпоративной почты". Там
ведь не только с sieve возня была :-)
До конца недели, может к понедельнику сваяю.
--
С наилучшими,
Олег Долгов
Oleg Dolgov пишет: > Aleksey Avdeev пишет: > >>>Очень хотелось бы. >> >> OK: >> >>if allof (header :contains "List-Id" "sysadmins.lists.altlinux.org") { >> fileinto "Shared Folders.Linux.ALT.Sysadmins"; >>} >> >> Так у меня в общие папки попадает данная рассылка. > > > А как попросить sieve переложить письмо в ИНБОКС другого пользователя? > > fileinto "Shared Folders.user.vasia"; Скорее так: fileinto "user.vasia"; Но будет ли работать -- незнаю. > > ? > > Главное права дать пересылающему пользователю на вставку/копирование? > Правильно? Или такое не практикуется/неиспользуется? Именно такое (перекладывание в папку другого пользователя) -- не использую. -- С уважением. Алексей.
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Здравствуйте, Суббота 08 Апрель 2006 16:16 вы писали: Макс, режь. И не сомневайся. - -- С искренним уважением и почтением, Акулов Захар Валерьевич, начальник отдела ИТ ООО "Фирма Макс", г. Новый Уренгой JID:hozzzar@jabber.ttn.ru UIN:205051758 -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.5 (GNU/Linux) iD8DBQFEOl8EyVOkse5mdawRAhE0AJ0Z+Ncrh9iasTcMXhBWS+oo++q1SACghPA1 3B6aIolyXowt+2PZqV56Rhg= =nDUC -----END PGP SIGNATURE-----
8 апреля 2006 15:54, Dmitriy L. Kruglikov написал: > Давайте решать проблему сообща ... Интересно - как? Сброситься и сообща купить один достоверный сертификат? :) А в чем проблема? ;) Помнится, уже не первый год есть "StartCom Free SSL Certification Authority" (https://cert.startcom.org/), но его сертификата как не было среди корневых, так и не будет, думаю. :) И он такой не один. Наверное, каждый из нас хотел бы поставить бесплатно подписанные сертификаты, но тогда сама идея дисквалифицируется... -- ABATAPA
Sergey пишет:
> On Monday 10 April 2006 15:29, Oleg Dolgov wrote:
>
>
>>PS. Можно браться за статью на wiki :-)
>>СтОит или эта нетривиальная задача никому не понадобится?
>
>
> Думаю стоит. Вполне пойдёт как "Cyrus-IMAP/sieve quick start guide/
> quick restore guide". :-)
+1
--
С уважением. Алексей.
Oleg Dolgov пишет:
>
> Я вообще думал описать свое решение небольшой "корпоративной почты". Там
> ведь не только с sieve возня была :-)
>
> До конца недели, может к понедельнику сваяю.
Рано разогнался. А как теперь это все бэкапить?
tar на /var/imap? Это сообщения, а настройки?
--
С наилучшими,
Олег Долгов
On Tuesday 11 April 2006 13:48, Oleg Dolgov wrote:
> > До конца недели, может к понедельнику сваяю.
>
> Рано разогнался. А как теперь это все бэкапить?
> tar на /var/imap? Это сообщения, а настройки?
Почему /var/imap ? В ALT по-умолчанию /var/spool/imap...
Грозное решение - это второй Cyrus-IMAP рядом (читать про murder) :-)
А, вообще, /var/lib/imap еще. За исключением, некоторых каталогов.
--
С уважением, Сергей
a_s_y@sama.ru
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Гм... Сегодня открыл для себя новый способ убийства сети. Искали причину падения очень долго, пока не выяснили, что девушки из делопроизводства решили передвинуть компьютер. Они воткнули шнурок двумя концами в свич. - -- С искренним уважением и почтением, Акулов Захар Валерьевич, начальник отдела ИТ ООО "Фирма Макс", г. Новый Уренгой JID:hozzzar@jabber.ttn.ru UIN:205051758 -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.5 (GNU/Linux) iD8DBQFEPNA8yVOkse5mdawRAsTfAKCoxHhX0cWLAbtl+myRo3sfGac+AACdGDsR EqYpQFXs5Wl8bQjvv7iPyCM= =wFUJ -----END PGP SIGNATURE-----
12 апреля 2006 14:02, hozzzar написал:
> Они воткнули шнурок двумя концами в свич.
При неправильно настроенном свиче и безруком админе - да.
При правильных - нет
--
ABATAPA
On Wed, 12 Apr 2006 14:10:34 +0400
ABATAPA <dnsmaster@yandex.ru> wrote:
> 12 апреля 2006 14:02, hozzzar написал:
> > Они воткнули шнурок двумя концами в свич.
> При неправильно настроенном свиче и безруком админе - да.
> При правильных - нет
>
на глупых (неуправляемых) свитчах в легкую все летит в тартарары
--
ПКБ Акустика
Мерзляков Е.А. icq #115657846
[-- Attachment #1: Type: text/plain, Size: 280 bytes --] hozzzar пишет: > Гм... Сегодня открыл для себя новый способ убийства сети. Искали > причину падения очень долго, пока не выяснили, что девушки из > делопроизводства решили передвинуть компьютер. > Они воткнули шнурок двумя концами в свич. Выкиньте свой "недосвитч"!!! [-- Attachment #2: OpenPGP digital signature --] [-- Type: application/pgp-signature, Size: 189 bytes --]
On Wednesday 12 April 2006 15:10, ABATAPA wrote: > > Они воткнули шнурок двумя концами в свич. > При неправильно настроенном свиче и безруком админе - да. > При правильных - нет А как правильно ? Или даже а какой свич ? :-) -- С уважением, Сергей a_s_y@sama.ru
On Wednesday 12 April 2006 15:02, hozzzar wrote:
> Искали причину падения очень долго,
Достаточно просто посмотреть на индикаторы активности. :-)
Вообще, если не работает всё, имеет смысл начинать
разборки со свича. ;-)
--
С уважением, Сергей
a_s_y@sama.ru
[-- Attachment #1: Type: text/plain, Size: 549 bytes --] Sergey пишет: > On Wednesday 12 April 2006 15:02, hozzzar wrote: > > >>Искали причину падения очень долго, > > > Достаточно просто посмотреть на индикаторы активности. :-) > Вообще, если не работает всё, имеет смысл начинать > разборки со свича. ;-) > Разборки надо начинать до наступления проблем... например со слов "К ОБОРУДОВАНИЮ ДОСПУСКАЕТСЯ ТОЛЬКО СПЕЦИАЛЬНО ОБУЧЕННЫЙ ПЕРСОНАЛ, В ДОЛЖНОСТНЫЕ ОБЯЗЯННОСТИ КОТОРОГО ВХОДИТ ОБСЛУЖИВАНИЕ ЭТОГО ОБОРУДОВАНИЯ!!!" Это можно распечатать и повесить рядом с (недо)свитчами. [-- Attachment #2: OpenPGP digital signature --] [-- Type: application/pgp-signature, Size: 189 bytes --]
On Wednesday 12 April 2006 15:26, Ivan Fedorov wrote:
> Выкиньте свой "недосвитч"!!!
Предлагаешь на всех портах всё, что можно повключать ?
Ну-ну...
--
С уважением, Сергей
a_s_y@sama.ru
On Wednesday 12 April 2006 15:32, Ivan Fedorov wrote:
> "К ОБОРУДОВАНИЮ ДОСПУСКАЕТСЯ ТОЛЬКО СПЕЦИАЛЬНО ОБУЧЕННЫЙ ПЕРСОНАЛ, В
> ДОЛЖНОСТНЫЕ ОБЯЗЯННОСТИ КОТОРОГО ВХОДИТ ОБСЛУЖИВАНИЕ ЭТОГО ОБОРУДОВАНИЯ!!!"
А стоит ли тут административные меры обсуждать ? Это и так очевидно...
Кому-то уже, кому-то давно...
--
С уважением, Сергей
a_s_y@sama.ru
Hello Мерзляков,
Wednesday, April 12, 2006, 4:20:43 PM, you wrote:
МЕА> On Wed, 12 Apr 2006 14:10:34 +0400
МЕА> ABATAPA <dnsmaster@yandex.ru> wrote:
>> 12 апреля 2006 14:02, hozzzar написал:
>> > Они воткнули шнурок двумя концами в свич.
>> При неправильно настроенном свиче и безруком админе - да.
>> При правильных - нет
>>
МЕА> на глупых (неуправляемых) свитчах в легкую все летит в тартарары
Летит, как только начинают идти широковещательные пакеты.
--
С уважением, Беляев
ICQ: 119181289
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Здравствуйте, Среда 12 Апрель 2006 16:10 вы писали:
>
> При неправильно настроенном свиче и безруком админе - да.
> При правильных - нет
Пасиб, учту! :)
Вот только не каждый свич настроить можно
- --
С искренним уважением и почтением,
Акулов Захар Валерьевич,
начальник отдела ИТ ООО "Фирма Макс",
г. Новый Уренгой
JID:hozzzar@jabber.ttn.ru
UIN:205051758
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.5 (GNU/Linux)
iD8DBQFEPNknyVOkse5mdawRArkxAKCSY6UtOs8Wbd8eR1jHx8z4nOrw2ACgmeC7
AxQGs8xzsCfOmjzCjcpzZh8=
=pszR
-----END PGP SIGNATURE-----
[-- Attachment #1: Type: text/plain, Size: 499 bytes --] Sergey пишет: > On Wednesday 12 April 2006 15:26, Ivan Fedorov wrote: > > >>Выкиньте свой "недосвитч"!!! > > Предлагаешь на всех портах всё, что можно повключать ? > Ну-ну... Предлагаю закупать нормальное оборудование. Я вот например в Low-End перешел со всяких Dlink'ов и Compex'ов на Allied Telesyn. Оно конечно подороже будет, но вот таких приколов например не выдает - специально встал со стула, нашел патчкорд и закоротил ближайший свитч. Работает как это не удивительно!.. [-- Attachment #2: OpenPGP digital signature --] [-- Type: application/pgp-signature, Size: 189 bytes --]
>
> Предлагаю закупать нормальное оборудование. Я вот например в Low-End
> перешел со всяких Dlink'ов и Compex'ов на Allied Telesyn. Оно конечно
> подороже будет, но вот таких приколов например не выдает - специально
> встал со стула, нашел патчкорд и закоротил ближайший свитч. Работает как
> это не удивительно!..
>
>
Я не знаю что там случилось за последние 2 года, но 2 года назад D-Link
считался гораздо лучше Allied Telesyn и лично у меня никаких проблем с
D-Link'ом не было!
Просто Вы вероятно сравниваете устройства разных классов.
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Здравствуйте, Среда 12 Апрель 2006 17:25 вы писали:
> Sergey пишет:
>
> Предлагаю закупать нормальное оборудование. Я вот например в
> Low-End перешел со всяких Dlink'ов и Compex'ов на Allied
> Telesyn.
Кстати, таки Dlink.
Но выкидывать их мне никто не позволит, похоже, придется их
битумом заливать :)
- --
С искренним уважением и почтением,
Акулов Захар Валерьевич,
начальник отдела ИТ ООО "Фирма Макс",
г. Новый Уренгой
JID:hozzzar@jabber.ttn.ru
UIN:205051758
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.5 (GNU/Linux)
iD8DBQFEPOjByVOkse5mdawRAlNcAKCiKVcosWPvi6IH5KRaDHrr2cPNuACeIpo+
xhkXEstjEaYb1UFKunG0b80=
=TgEY
-----END PGP SIGNATURE-----
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Здравствуйте, Среда 12 Апрель 2006 17:25 вы писали: > Sergey пишет: > Telesyn. Оно конечно подороже будет, но вот таких приколов > например не выдает - специально встал со стула, нашел патчкорд > и закоротил ближайший свитч. Работает как это не > удивительно!.. Чуть не забыл -- а как долго проверяли? Девушки перестановку сделали утром, сразу, как только на работе появились, а сеть развалилась где-то в обед. - -- С искренним уважением и почтением, Акулов Захар Валерьевич, начальник отдела ИТ ООО "Фирма Макс", г. Новый Уренгой JID:hozzzar@jabber.ttn.ru UIN:205051758 -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.5 (GNU/Linux) iD8DBQFEPOnFyVOkse5mdawRAmLHAKCsqPir2gMgtw4aL0YfvivPy4oCRwCgp21d grITfjAo01HvGPRdicKr15s= =Rx6k -----END PGP SIGNATURE-----
[-- Attachment #1: Type: text/plain, Size: 543 bytes --] hozzzar пишет: > -----BEGIN PGP SIGNED MESSAGE----- > Hash: SHA1 > > Здравствуйте, Среда 12 Апрель 2006 17:25 вы писали: > >>Sergey пишет: > > >>Telesyn. Оно конечно подороже будет, но вот таких приколов >>например не выдает - специально встал со стула, нашел патчкорд >>и закоротил ближайший свитч. Работает как это не >>удивительно!.. > > Чуть не забыл -- а как долго проверяли? > Девушки перестановку сделали утром, сразу, как только на работе > появились, а сеть развалилась где-то в обед. Ща на ночь запущу!.. [-- Attachment #2: OpenPGP digital signature --] [-- Type: application/pgp-signature, Size: 189 bytes --]
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Здравствуйте, Среда 12 Апрель 2006 18:02 вы писали:
> >
> > Чуть не забыл -- а как долго проверяли?
> > Девушки перестановку сделали утром, сразу, как только на
> > работе появились, а сеть развалилась где-то в обед.
>
> Ща на ночь запущу!..
Нет, пожалуйста, не нужно, я же просто спросил!
:)
- --
С искренним уважением и почтением,
Акулов Захар Валерьевич,
начальник отдела ИТ ООО "Фирма Макс",
г. Новый Уренгой
JID:hozzzar@jabber.ttn.ru
UIN:205051758
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.5 (GNU/Linux)
iD8DBQFEPO2+yVOkse5mdawRAljeAKCcjQ8pBcTErv/LHiL2IJ3HAopYfgCgqnvs
w4/qTYjApI/YAbQNtHKjqNw=
=HQRf
-----END PGP SIGNATURE-----
[-- Attachment #1: Type: text/plain, Size: 528 bytes --] hozzzar пишет: > -----BEGIN PGP SIGNED MESSAGE----- > Hash: SHA1 > > Здравствуйте, Среда 12 Апрель 2006 18:02 вы писали: > >>>Чуть не забыл -- а как долго проверяли? >>>Девушки перестановку сделали утром, сразу, как только на >>>работе появились, а сеть развалилась где-то в обед. >> >>Ща на ночь запущу!.. > > > Нет, пожалуйста, не нужно, я же просто спросил! > :) Я уже закоротил... сразу 2мя кабелями для надежности... зато ежели чего вдруг, то я утром смогу проверить грамотность сисадминов!.. :) [-- Attachment #2: OpenPGP digital signature --] [-- Type: application/pgp-signature, Size: 189 bytes --]
Ivan Fedorov пишет: >>>Выкиньте свой "недосвитч"!!! или заперет ьего в шкафу..чтоб доступа небыло у тех кому это не положено.. >>Предлагаешь на всех портах всё, что можно повключать ? >>Ну-ну... > Предлагаю закупать нормальное оборудование. Я вот например в Low-End > перешел со всяких Dlink'ов и Compex'ов на Allied Telesyn. Оно конечно > подороже будет, но вот таких приколов например не выдает - специально > встал со стула, нашел патчкорд и закоротил ближайший свитч. Работает как > это не удивительно!.. попробовать что-ли свою планету коротнуть... -- np: silence
[-- Attachment #1: Type: text/plain, Size: 704 bytes --] Anton Gorlov пишет: > Ivan Fedorov пишет: > > >>>>Выкиньте свой "недосвитч"!!! > > или заперет ьего в шкафу..чтоб доступа небыло у тех кому это не положено.. > > >>>Предлагаешь на всех портах всё, что можно повключать ? >>>Ну-ну... >> >>Предлагаю закупать нормальное оборудование. Я вот например в Low-End >>перешел со всяких Dlink'ов и Compex'ов на Allied Telesyn. Оно конечно >>подороже будет, но вот таких приколов например не выдает - специально >>встал со стула, нашел патчкорд и закоротил ближайший свитч. Работает как >>это не удивительно!.. > > попробовать что-ли свою планету коротнуть... > Подозреваю, что планета поведет себя абсолютно аналогично Acorp и Compex. [-- Attachment #2: OpenPGP digital signature --] [-- Type: application/pgp-signature, Size: 189 bytes --]
12 апреля 2006 15:25, Ivan Fedorov написал: > Предлагаю закупать нормальное оборудование. Я вот например в Low-End > перешел со всяких Dlink'ов и Compex'ов на Allied Telesyn. Есть еще Edge-corE, ныне все более популярный на Западе: http://www.edge-core.com/ Вроде как является подразделением Cisco. -- ABATAPA
Ivan Fedorov пишет:
> Подозреваю, что планета поведет себя абсолютно аналогично Acorp и Compex.
не думаю... бо тут только чего уже небыло..1 раз словил глюка когда dhcp
запросы через свитч перестали проходить.. ребутнул свитч..помогло,
больше уже с год как не повторялось.
--
np: silence
On Wednesday 12 April 2006 16:25, Ivan Fedorov wrote:
> Предлагаю закупать нормальное оборудование. Я вот например в Low-End
> перешел со всяких Dlink'ов и Compex'ов на Allied Telesyn. Оно конечно
> подороже будет,
Хм. Я такое наблюдал на Nortel Networks BS 470-48T. Закороченный vlan
конкретно зафлудился. В AT точно нарезки на vlan не было ?
--
С уважением, Сергей
a_s_y@sama.ru
[-- Attachment #1: Type: text/plain, Size: 512 bytes --] ABATAPA пишет: > 12 апреля 2006 15:25, Ivan Fedorov написал: > >>Предлагаю закупать нормальное оборудование. Я вот например в Low-End >>перешел со всяких Dlink'ов и Compex'ов на Allied Telesyn. > > Есть еще Edge-corE, ныне все более популярный на Западе: > http://www.edge-core.com/ > > Вроде как является подразделением Cisco. На первый взгляд Allied Telesyn выглядит привлекательнее, но завтра постараюсь поглядеть внимательнее. А ежели чего, то и куплю железку-другую на поиграться!.. ;) [-- Attachment #2: OpenPGP digital signature --] [-- Type: application/pgp-signature, Size: 189 bytes --]
[-- Attachment #1: Type: text/plain, Size: 544 bytes --] Sergey пишет: > On Wednesday 12 April 2006 16:25, Ivan Fedorov wrote: > > >>Предлагаю закупать нормальное оборудование. Я вот например в Low-End >>перешел со всяких Dlink'ов и Compex'ов на Allied Telesyn. Оно конечно >>подороже будет, > > > Хм. Я такое наблюдал на Nortel Networks BS 470-48T. Закороченный vlan > конкретно зафлудился. В AT точно нарезки на vlan не было ? > Точно! Это мой коммутатор, я его еще не порезал. А вот про Nortel странно. Вроде хорошие должны быть коммутаторы. Хотя 470-е я не видел в живую. [-- Attachment #2: OpenPGP digital signature --] [-- Type: application/pgp-signature, Size: 189 bytes --]
On Wednesday 12 April 2006 17:26, Ivan Fedorov wrote:
> > Нет, пожалуйста, не нужно, я же просто спросил!
> > :)
>
> Я уже закоротил... сразу 2мя кабелями для надежности... зато ежели чего
> вдруг, то я утром смогу проверить грамотность сисадминов!.. :)
А что там подключено, какой характер трафика и т.д. ? От него ведь тоже может
зависеть...
Я словил, когда два соединённых свича в стек собрал (забыл патчкорд убрать).
В новом был только default vlan, и он с default vlan старого, естественно,
объединился. Причём словил, практически, мгновенно. Сообразил, правда, тоже
быстро. ;-)
--
С уважением, Сергей
a_s_y@sama.ru
[-- Attachment #1: Type: text/plain, Size: 417 bytes --] Sergey пишет: > On Wednesday 12 April 2006 17:26, Ivan Fedorov wrote: > >>>Нет, пожалуйста, не нужно, я же просто спросил! >>>:) >> >>Я уже закоротил... сразу 2мя кабелями для надежности... зато ежели чего >>вдруг, то я утром смогу проверить грамотность сисадминов!.. :) > > А что там подключено, какой характер трафика и т.д. ? От него ведь тоже может > зависеть... Один отдел. Траффика немного... [-- Attachment #2: OpenPGP digital signature --] [-- Type: application/pgp-signature, Size: 189 bytes --]
12 апреля 2006 14:27, Sergey написал:
> On Wednesday 12 April 2006 15:10, ABATAPA wrote:
> > > Они воткнули шнурок двумя концами в свич.
> >
> > При неправильно настроенном свиче и безруком админе - да.
> > При правильных - нет
>
> А как правильно ? Или даже а какой свич ? :-)
Например, на Cisco Catalyst
errdisable recovery cause loopback
errdisable recovery interval 60
set spantree ...
А еще читать про STP.
--
ABATAPA
On Wednesday 12 April 2006 19:29, ABATAPA wrote: > errdisable recovery cause loopback > errdisable recovery interval 60 А надо оно ? > set spantree ... > А еще читать про STP. Долго читать ? ;-) Его что, на каждом интерфейсе разрешать ? Вообще-то, свичу есть, чем заняться и без этого. -- С уважением, Сергей a_s_y@sama.ru
On Wednesday 12 April 2006 19:29, ABATAPA wrote:
> errdisable recovery cause loopback
> errdisable recovery interval 60
Кстати, а что оно по-умолчанию на Каталистах не включено ? ;-)
--
С уважением, Сергей
a_s_y@sama.ru
12 апреля 2006 18:55, Sergey написал:
> Кстати, а что оно по-умолчанию на Каталистах не включено ? ;-)
Да. Кроме "recovery interval".
--
ABATAPA
12 апреля 2006 18:54, Sergey написал: > А надо оно ? Если Вам не надо или нужны отключенные порты - не ставьте. > Долго читать ? ;-) Его что, на каждом интерфейсе разрешать ? > Вообще-то, свичу есть, чем заняться и без этого. Опять же - дело Ваше. Если для Вас не важно, что порт будет отключен... -- ABATAPA
On Thursday 13 April 2006 11:10, ABATAPA wrote: > > Кстати, а что оно по-умолчанию на Каталистах не включено ? ;-) > Да. Кроме "recovery interval". Я имел ввиду "почему". А, вообще, свичи c нестандартным допустимым диапазоном vlan id как-то не сильно удобно использовать. Да еще некоторые vlan пропускают где ни попадя. Досталось в наследство от купленного isp несколько 2950. Плююсь больше полугода, как лазить приходится (после привычки к BayStack-ам)... И это не смотря на то, что несколько 3640 и 5300 давно есть в эксплуатации, так что интерфейс привычный в основном. Никак руки не дойдут 3550 посмотреть... Хотя, может, просто им стоит софт подновить... -- С уважением, Сергей a_s_y@sama.ru
13 апреля 2006 11:02, Sergey написал:
> Плююсь больше полугода, как лазить
> приходится (после привычки к BayStack-ам)...
На что?
Плеваться на Cisco - это плевать в колодец. :)
--
ABATAPA
On Thursday 13 April 2006 12:21, ABATAPA wrote: > > Плююсь больше полугода, как лазить > > приходится (после привычки к BayStack-ам)... > На что? На Каталисты 2950. > Плеваться на Cisco - это плевать в колодец. :) Судьба такая... :-) -- уважением, Сергей a_s_y@sama.ru
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Здравствуйте, Среда 12 Апрель 2006 18:26 вы писали:
>
> Я уже закоротил... сразу 2мя кабелями для надежности... зато
> ежели чего вдруг, то я утром смогу проверить грамотность
> сисадминов!.. :)
Ivan, а чем дело-то кончилось? Надеюсь, проблем не возникло?
- --
С искренним уважением и почтением,
Акулов Захар Валерьевич,
начальник отдела ИТ ООО "Фирма Макс",
г. Новый Уренгой
JID:hozzzar@jabber.ttn.ru
UIN:205051758
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.5 (GNU/Linux)
iD8DBQFEPnScyVOkse5mdawRAos+AKC4Rv9aISVUUqcv9An0yP5bH736VgCbBiE6
pzXPaCq3IiaWeIU9AlODCEw=
=jr+9
-----END PGP SIGNATURE-----
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Здравствуйте, Среда 12 Апрель 2006 17:25 вы писали:
>
> Предлагаю закупать нормальное оборудование. Я вот например в
> Low-End перешел со всяких Dlink'ов и Compex'ов на Allied
> Telesyn. Оно конечно подороже будет, но вот таких приколов
> например не выдает - специально встал со стула, нашел патчкорд
> и закоротил ближайший свитч. Работает как это не
> удивительно!..
Обнаружил на складе порядка сотни таких же свичей, всерьез
задумался о битуме. :-*
- --
С искренним уважением и почтением,
Акулов Захар Валерьевич,
начальник отдела ИТ ООО "Фирма Макс",
г. Новый Уренгой
JID:hozzzar@jabber.ttn.ru
UIN:205051758
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.5 (GNU/Linux)
iD8DBQFEPnU8yVOkse5mdawRAm5JAKC6I6t2d7iiNru3kIaxGaaTGOtGigCfW02f
/yG7phtU7ElRx2oyQNWs0ao=
=ANCb
-----END PGP SIGNATURE-----
[-- Attachment #1: Type: text/plain, Size: 434 bytes --] hozzzar пишет: > Здравствуйте, Среда 12 Апрель 2006 18:26 вы писали: > >>Я уже закоротил... сразу 2мя кабелями для надежности... зато >>ежели чего вдруг, то я утром смогу проверить грамотность >>сисадминов!.. :) > > Ivan, а чем дело-то кончилось? Надеюсь, проблем не возникло? Я вчера на работу не ходил, а сегодня вообще об этом забыл!.. ;) Нет, проблем не возникло... коммутатор продолжает отдаваться телнетом!.. :) [-- Attachment #2: OpenPGP digital signature --] [-- Type: application/pgp-signature, Size: 189 bytes --]
On Thursday 13 April 2006 12:21, ABATAPA wrote: > > приходится (после привычки к BayStack-ам)... > На что? > Плеваться на Cisco - это плевать в колодец. :) Вот, кстати, по поводу "не плюй в колодец", прямо сейчас: ! interface FastEthernet0/0 no ip address duplex auto speed auto no cdp enable ! interface FastEthernet0/0.1 encapsulation dot1Q 1 native ip address 10.0.0.2 255.255.255.252 ! 10.0.0.1 на eth1.1 (соединены напрямую, vlan id 1) недоступен. Перевешиваешь на eth1 - работает. И где, спрашивается, 802.1q в c3660-is-mz.122-12.bin ? Сейчас ios поменяю, посмотрю... -- С уважением, Сергей a_s_y@sama.ru
On Friday 14 April 2006 16:27, Sergey wrote:
> interface FastEthernet0/0.1
> encapsulation dot1Q 1 native
> ip address 10.0.0.2 255.255.255.252
> !
>
> 10.0.0.1 на eth1.1 (соединены напрямую, vlan id 1) недоступен.
> Перевешиваешь на eth1 - работает. И где, спрашивается, 802.1q
> в c3660-is-mz.122-12.bin ? Сейчас ios поменяю, посмотрю...
Это называется не бага, это называется фича. dot1Q, но раз native,
свистим без тага. А native прибит гвоздями. Чтобы оторвать, требуется
гвоздодёр - надо фейковый dot1Q поднять и native повесить на него.
Вместе с шотдаун. И так у них много где не через ту дырку.
Кстати, что интересно. Допускает
!
interface FastEthernet0/0.4000
encapsulation dot1Q 4000
!
Интересно, как они это с их же 2950 скрещивать предлагают :-)
--
С уважением, Сергей
a_s_y@sama.ru
Доброго времени суток. Для удаленного управления серверами руководство решило мне презентовать КПК (коммуникатор). Хочу поинтересоваться у уважаемого сообщества, что лучше использовать. Нужно подключаться по SSH и RDP к удалённым серверам. Обязательно наличие
Доброго времени суток. Для удаленного управления серверами руководство решило мне презентовать КПК (коммуникатор). Хочу поинтересоваться у уважаемого сообщества, что лучше использовать. Нужно подключаться по SSH и RDP к удалённым серверам. Обязательно наличие GPRS, желательно Wi-Fi. Что можете порекомендовать, желательно проверенные лошадки.
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Здравствуйте, 16 Апрель 2006 00:09 вы писали:
>
> Для удаленного управления серверами руководство решило мне
> презентовать КПК (коммуникатор). Хочу поинтересоваться у
> уважаемого сообщества, что лучше использовать. Нужно
> подключаться по SSH и RDP к удалённым серверам. Обязательно
> наличие
>
А в чем проблема? Был бы канал, а ssh найдется. Вот помню, было
дело, однажды через жпрез...
Или я вопрос не понял?
- --
С искренним уважением и почтением,
Акулов Захар Валерьевич,
начальник отдела ИТ ООО "Фирма Макс",
г. Новый Уренгой
JID:hozzzar@jabber.ttn.ru
UIN:205051758
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.5 (GNU/Linux)
iD8DBQFEQZpeyVOkse5mdawRAo6NAJ9maZZ9AcOIBpIDMFfcS1ttnPeG6gCgnstz
UV/El2o4qgxUpaJyyk7bjTU=
=rNkk
-----END PGP SIGNATURE-----
On Saturday 15 April 2006 23:09, Metalking wrote:
> Для удаленного управления серверами руководство решило мне презентовать КПК
> (коммуникатор). Хочу поинтересоваться у уважаемого сообщества, что лучше
> использовать.
Тоже вот интересно. Сейчас пока жду, когда ROAD HandyPC появится.
По описанию - хорош... Вот только сколько стоить будет...
--
С уважением, Сергей
a_s_y@sama.ru
Metalking пишет:
>Доброго времени суток.
>
>Для удаленного управления серверами руководство решило мне презентовать КПК
>(коммуникатор). Хочу поинтересоваться у уважаемого сообщества, что лучше
>использовать. Нужно подключаться по SSH и RDP к удалённым серверам.
>Обязательно наличие GPRS, желательно Wi-Fi.
>Что можете порекомендовать, желательно проверенные лошадки.
>_______________________________________________
>
>
Если я правильно понимаю, на коммуникаторы с Symbian 6/7/8/9 идёт Putty
. В большинстве ЖПРС уже есть. Если ещё WiFi надо, то пожалуй что-то
вроде Qtek 8310 или BenQ p50 или ASUS P505 . Думаю, что
последнее самое удачное решение.
Есть ещё Psion NetBook , но для него беспроводную карточку найти тяжело
и сам он только б\у ,но зато там столько всяких удобств для работы с
сетью ... Сомневался, пока себе не взял.... Девайс потрясный. Но и найти
для него что-то ой как сложно... У жены на Нокию 6681 ставил Оперу ,
Жаббера, АСЮ. Путти. Есть для Псионов писаная программа Net Utils, вот
её бы кто для более поздних Симбианов переписал - то-то блажь наступила
бы ( локально).
On Sat, 15 Apr 2006 22:12:09 +0400
Metalking wrote:
> Доброго времени суток.
>
> Для удаленного управления серверами руководство решило мне презентовать КПК
> (коммуникатор). Хочу поинтересоваться у уважаемого сообщества, что лучше
> использовать. Нужно подключаться по SSH и RDP к удалённым серверам.
> Обязательно наличие GPRS, желательно Wi-Fi.
> Что можете порекомендовать, желательно проверенные лошадки.
Пробовал я лично iPAQ 1930/2210 .... Пока не поставил Линуха на 2210 ...
Бальзам на израненую душу ....
Пока еще не проверил его жерез ЖоПоРеЗ ... Но надежда есть ...
А Блю=зуб и usb-net работяют отлично ...
То, что называется PuTTy под Симбиан - лучше не упоминать ...
У меня Nokia 9300 но нормально у нее не один клиент не заработал ...
Версию 2 SSH ни кто нормально не понимает, а по ключам авторизоваться и
подавно ...
Если есть возможность, выбирай клавиатурные КПК с пингвином ...
А руководству твоему респект ...
Я все сам покупал ... :(
--
Best regards,
Dmitriy L. Kruglikov .--.
Dmitriy.Kruglikov@orionagro.com.ua |@_@ |
DKR6-RIPE |!_/ |
ICQ# 13047326 // \ \
XMPP:dkr6@jabber.ru (| | )
/'\_ _/`\
Powered by Linux \___)=(___/
-- Мысль --
Нет у тебя, человек, ничего, кроме души.
-- Пифагор
Суть проблемы: Тырнет рулится через шлюз, на котором ДВБ-плата и АДСЛ, прикрученный к эфирнет-карточке. Со шлюза всё подаётся на биллинг-сервант, где подрублено 2 сетки - радио и проводная. На самом шлюзе всё работает как надо, пакетики бегают туда-сюда, на всяк запрос имеем отклик. Не работает с серванта. Ни пинг, ни телнет на нужные порты не прут, хотя лампочки АДСЛ-мопеда дрыгаются, когда чего-то засылаем. Нет возврата по тазику, хоть убейся... При этом через проксю прёт всё, что умеет переть через проксю (в т.ч. с подсеток). Оно же и редиректится для вящей прозрачности. А вот с такими сервисами, как мыло, новости, жабер и т.п. - облом-с. Жабер-то хоть при явном указании проксика работает, остальное - Х (крест). Интерфейсы шлюза: lan: 192.168.2.254/24 adsl: 192.168.1.254/24 dvb0_0: 192.168.0.254/24 tun0: 82.211.160.243 peer 192.168.80.70/32 adsl смотрит на модем с адресом 192.168.1.1/24 С сервера на шлюз смотрит интерфейс gateway с адресом 192.168.2.253/24 Пинг с сервера на все интерфейсы шлюза проходит, дальше - фигушки. На шлюзе: # iptables -nL FORWARD Chain FORWARD (policy ACCEPT) target prot opt source destination BLOCK all -- 0.0.0.0/0 0.0.0.0/0 # iptables -nL BLOCK Chain BLOCK (2 references) target prot opt source destination ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x16/0x02 limit: avg 1/sec burst 5 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x04 limit: avg 1/sec burst 5 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 8 limit: avg 1/sec burst 5 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED # iptables -nL -t nat Chain PREROUTING (policy ACCEPT) target prot opt source destination REDIRECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 redir ports 2121 REDIRECT tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 80,8080,8081 redir ports 3128 Chain POSTROUTING (policy ACCEPT) target prot opt source destination ACCEPT all -- 192.168.1.1 192.168.1.1 SNAT all -- 192.168.1.1 0.0.0.0/0 to:82.211.160.243 SNAT all -- 0.0.0.0/0 0.0.0.0/0 to:192.168.1.254 Chain OUTPUT (policy ACCEPT) target prot opt source destination На сервере: # iptables -t nat -nL Chain PREROUTING (policy ACCEPT) pkts bytes target prot opt in out source destination Chain POSTROUTING (policy ACCEPT) pkts bytes target prot opt in out source destination 7636 593K SNAT all -- * * 0.0.0.0/0 0.0.0.0/0 to:192.168.2.253 Chain OUTPUT (policy ACCEPT) pkts bytes target prot opt in out source destination Сделал на шлюзе по чьей-то рекомендации следующее: echo "90 lan" >> /etc/iproute2/rt_tables ip rule add from 192.168.2.0/24 table lan ip route add default dev tun0 table lan Не помогло. Правда, на попытки пинга и телнета прежде по тайм-ауту выпадал, а теперь говорит: $ telnet usib.irkps.ru jabber Trying 195.46.96.107... telnet: connect to address 195.46.96.107: No route to host $ ping usib.irkps.ru PING usib.irkps.ru (195.46.96.107) 56(84) bytes of data. From 192.168.2.254: icmp_seq=2 Redirect Host(New nexthop: 195.46.96.107) From 192.168.2.254: icmp_seq=3 Redirect Host(New nexthop: 195.46.96.107) From 192.168.2.254 icmp_seq=1 Destination Host Unreachable From 192.168.2.254 icmp_seq=2 Destination Host Unreachable ________________________ С уважением, Вадим Илларионов системный администратор Усолье-Сибирский почтамт JID: см. <mailto:> UIN: 7899517 Телефоны: Мобильный +7 904 658-4154 Рабочий +7 39543 444-00
18 апреля 2006 06:12, Вадим Илларионов написал: > Суть проблемы: Читал, но так и не понял - "серванты", "тырнеты", "прут", "не прут", что-то "дергается", видимо, "тазики"... Вы можете писАть по-человечески? Или Вы в остроумии соревнуетесь? И ждете на это ответ?! Из приведенной информации так и не понял - что же вы имеете на роутере, и, главное, чего хотите? Судя по части написанного - принудительный transparent proxy + NAT? Вы пробовали удалить все лишнее? Что говорит # cat /proc/sys/net/ipv4/ip_forward Вы настраивали route? Зачем, если делаете NAT? Вообще, пробовали читать хотя бы http://lartc.org? -- ABATAPA
ABATAPA wrote: > 18 апреля 2006 06:12, Вадим Илларионов написал: >> Суть проблемы: > Читал, но так и не понял - "серванты", "тырнеты", "прут", "не прут", > что-то "дергается", видимо, "тазики"... Вы можете писАть по-человечески? Вас не смущает, когда в этой рассылке проскакивают выражения типа "курить маны" и им подобные? Или когда подобные сленговые словечки исходят от уважаемых мейнтейнеров и альт-тимовцев (не корёжат ли, кстати, слова "мейнтейнер" и "тим" в не переведённом, а в слепо транскрибированном виде?)? > Или Вы в остроумии соревнуетесь? И ждете на это ответ?! Отнюдь. Просто всякой професии свойственен некоторый набор жаргонизмов. А здесь, если я верно ошибаюсь, сообщество профессионалов, именно подобный набор зачастую применяющих. > Из приведенной информации так и не понял - что же вы имеете на роутере, и, > главное, чего хотите? Судя по части написанного - принудительный > transparent proxy + NAT? Да, на рУтере (пусть маршрутизаторе) у меня прозрачный прокси, организованный, разумеется, не без НАТа. (Слово "эфирнет" Вас, кстати, не больно задело? А в оригинале звучит почти так. Отнюдь не "эЗЕрнет". Да и поосмыслленней будет.) > Вы пробовали удалить все лишнее? Знать бы, что именно здесь лишнее - давно поудалял бы. Я ж листинги команд привёл. Каких не хватает? Я дошлю. > Что говорит > # cat /proc/sys/net/ipv4/ip_forward 1 > Вы настраивали route? Зачем, если делаете NAT? Потому что НАТ не помог. Потому что не хватает соображаловки. Потому что не доводилось прежде настраивать не только сложной маршрутизации, но и просто такого варианта, как восходящий - по одному интерфейсу, нисходящий же - по другому, с возвратом оного в сеть, а не на единственную тачку (пусть ЭВМ). > Вообще, пробовали читать хотя бы http://lartc.org? Пробовал. Не доходит. Может, я тупой, может, винтик какой не повернулся пока, чтоб из каши в голове всё по полочкам разложилось, а может, ошибка в ДНК. Чего б иначе я сюда со своими проблемами лез?.. ________________________ С уважением, Вадим Илларионов системный администратор Усолье-Сибирский почтамт JID: см. <mailto:> UIN: 7899517 Телефоны: Мобильный +7 904 658-4154 Рабочий +7 39543 444-00
18 апреля 2006 11:19, Вадим Илларионов написал: > Да, на рУтере (пусть маршрутизаторе) у меня прозрачный прокси, > организованный, разумеется, не без НАТа. Хм... Ну, DNAT, конечно, тоже NAT.... > Знать бы, что именно здесь лишнее - давно поудалял бы. Я ж листинги команд > привёл. Каких не хватает? Я дошлю. Если все работает - оставляйте. Если нет - не городите одно на другое. Начинайте сначала, и с малого. Удалите все правила для iptables, и сделайте (прямо по учебнику) MASQUERADE. # iptables -t nat -A POSTROUTING -j MASQUERADE # echo 1 > /proc/sys/net/ipv4/ip_forward Работает? > Потому что НАТ не помог. У вас 1 IP? Тогда какая там маршрутизация? Или у вас все же выделен блок адресов провайдером (спутниковым)? -- ABATAPA
ABATAPA wrote: >> Да, на рУтере (пусть маршрутизаторе) у меня прозрачный прокси, >> организованный, разумеется, не без НАТа. > Хм... Ну, DNAT, конечно, тоже NAT.... >> Знать бы, что именно здесь лишнее - давно поудалял бы. Я ж листинги >> команд привёл. Каких не хватает? Я дошлю. > Если все работает - оставляйте. Если нет - не городите одно на другое. > Начинайте сначала, и с малого. > Удалите все правила для iptables, и сделайте (прямо по учебнику) > MASQUERADE. > # iptables -t nat -A POSTROUTING -j MASQUERADE > # echo 1 > /proc/sys/net/ipv4/ip_forward > Работает? С этого всё и начиналось. Но именно потому, что не заработало, и стал огород городить. Рецепты искать да на себе, аки врач-подвижник, пробовать. Пока что - увы... >> Потому что НАТ не помог. > У вас 1 IP? Тогда какая там маршрутизация? > Или у вас все же выделен блок адресов провайдером (спутниковым)? Сначала был только АйПи провайдера АДСЛ. Вчера запросил у спутникового провайдера реальный АйПи. Выделили. Не помогло. Понимаю, что дело в неотдаче принятых данных с ДВБ-карты обратно в сеть, а как отдать - не понимаю... ________________________ С уважением, Вадим Илларионов системный администратор Усолье-Сибирский почтамт JID: см. <mailto:> UIN: 7899517 Телефоны: Мобильный +7 904 658-4154 Рабочий +7 39543 444-00
18 апреля 2006 12:10, Вадим Илларионов написал: > С этого всё и начиналось. Но именно потому, что не заработало, и стал > огород городить. Рецепты искать да на себе, аки врач-подвижник, пробовать. > Пока что - увы... Что именно не работало? Локальная машина была настроена? IP фдреса, routing, default gateway, тунель? > Понимаю, что дело в неотдаче принятых данных с ДВБ-карты обратно в сеть, а > как отдать - не понимаю... Куда - обратно? У вас есть наземный канал, и тунель. Больше Вам ничего не нужно. Что-то Вы как-то не так рассуждаете. Берите с Яндекса любую статью по настройке спутникового Интернета, и смотрите на примеры. -- ABATAPA
ABATAPA wrote: > 18 апреля 2006 12:10, Вадим Илларионов написал: >> С этого всё и начиналось. Но именно потому, что не заработало, и стал >> огород городить. Рецепты искать да на себе, аки врач-подвижник, >> пробовать. Пока что - увы... > Что именно не работало? > Локальная машина была настроена? IP фдреса, routing, default gateway, > тунель? Локальная машина (она же - шлюз) работала. И работает. И всё было настроено, иначе едва ли она заработала бы. >> Понимаю, что дело в неотдаче принятых данных с ДВБ-карты обратно в сеть, >> а как отдать - не понимаю... > Куда - обратно? > У вас есть наземный канал, и тунель. Больше Вам ничего не нужно. Мне нужно, чтобы по туннелю трафик, запрошенный из локальной сети, в неё же возвращался. Этого-то и не происходит. > Что-то Вы как-то не так рассуждаете. > Берите с Яндекса любую статью по настройке спутникового Интернета, и > смотрите на примеры. Попробую.
Добавил на шлюзе: iptables -t nat -A POSTROUTING -o tun0 -j SNAT --to-source 82.211.160.243 Заработало. Ура.
Вадим Илларионов wrote:
> Добавил на шлюзе:
> iptables -t nat -A POSTROUTING -o tun0 -j SNAT --to-source 82.211.160.243
> Заработало. Ура.
Видать, винтик в башке на место встал. Каша по полочкам разлеглась.
18 апреля 2006 13:45, Вадим Илларионов написал:
> iptables -t nat -A POSTROUTING -o tun0 -j SNAT --to-source 82.211.160.243
> Заработало. Ура.
Работало бы и с MASQUERADE при правильно настроенном сервере.
Но в Вашем случае (с фиксированным IP туннеля) подойдет и SNAT.
Видите, как полезно читать доки. :)
--
ABATAPA
18 апреля 2006 13:12, Вадим Илларионов написал: > Локальная машина (она же - шлюз) работала. И работает. И всё было > настроено, иначе едва ли она заработала бы. Не факт. Она может "работать" и через Ваш ADSL, а не через туннель на спутник. Проверьте маршруты по-умолчанию. >Мне нужно, чтобы по туннелю трафик, запрошенный из локальной сети, в неё же >возвращался. Этого-то и не происходит. Тот же самый "тафик"? ;) А звучит так... Настраивайте MASQUERADE или SNAT. >Попробую. Вижу, что получилось. :) -- ABATAPA
ABATAPA wrote: > 18 апреля 2006 13:12, Вадим Илларионов написал: >> Локальная машина (она же - шлюз) работала. И работает. И всё было >> настроено, иначе едва ли она заработала бы. > Не факт. Она может "работать" и через Ваш ADSL, а не через туннель на > спутник. Проверьте маршруты по-умолчанию. Здесь как раз сомнений не было. Входящий трафик по АДСЛ был практически нулевым, хотя и почту принимали, и файлы не мелкие скачивали. >>Мне нужно, чтобы по туннелю трафик, запрошенный из локальной сети, в неё >>же возвращался. Этого-то и не происходит. > Тот же самый "тафик"? ;) А звучит так... Не "тот же". А "запрошенный". Повнимательнее читайте. > Настраивайте MASQUERADE или SNAT. С ними и вошкался. Почему-то через маскировку ничего не вышло, а со СНАТом - уже знаете. >>Попробую. > Вижу, что получилось. :) Таки да. ________________________ С уважением, Вадим Илларионов системный администратор Усолье-Сибирский почтамт JID: см. <mailto:> UIN: 7899517 Телефоны: Мобильный +7 904 658-4154 Рабочий +7 39543 444-00
[-- Attachment #1: Type: text/plain, Size: 193 bytes --] hi, all! требуется программа (win32 желательно) проверить узкие места сети, пропускную способность и т.д. про FTest Pro знаю. если кто посоветует под *nix - тоже вариант :) sy, peter [-- Attachment #2: Type: application/pgp-signature, Size: 305 bytes --]
Здравствуйте. Имеем UPS powercom black knight pro BNT-1200AP на нём висят: комп1: ALC 3.0 , nut master комп2: вин2003 , nut slave CRT моник switch При потере напряжения в сети упс держит минут 15, после этого (при понижении уровня заряда батарей до критического) nut завершает работу обоих компов, моник соответственно переходит в standby. При этом упс не отключается, так-как на нём еще висит свитч и нагрузка есть. Упс отключается только когда свитч "доедает" заряд батареи до нуля. После этого при возврате напряжения в сети упс включается, и соответственно включаются компы. Но вот если напряжение в сети появляется МЕЖДУ выключением компов и выключением УПСА - тут начинаются траблы... ведь напряжение на выходе упса не пропадает и компы не знают, что им пора включиться. Что можно сделать? -- С уважением, Алексей mailto:alex@reutman.ru
On Thursday 20 April 2006 14:31, Сидоров Алексей wrote: > При этом упс не отключается, так-как на нём еще висит свитч и > нагрузка есть. Не понял фразу. Специально не отключается, или бесперебойник отключается только тогда, когда нагрузки нет ? > ведь напряжение на выходе упса не пропадает и компы не > знают, что им пора включиться. Никак, наверное. Разьве что поставить какой-нибудь рубильник, который по IP управляется. Если всё это из-за необходимости держать свич до упора, лучше его на отдельный бесперебойник повесить. Если же проблема именно в том, что таково поведение UPS, видимо, стоит его сменить. Например, APC SmartUPS, если killpower получает, то, после отработки таймаута, снимает напряжение c выходов в любом случае, даже если питание появиться успело. -- С уважением, Сергей a_s_y@sama.ru
Sergey пишет: > On Thursday 20 April 2006 14:31, Сидоров Алексей wrote: > >> При этом упс не отключается, так-как на нём еще висит свитч и >> нагрузка есть. > > Не понял фразу. Специально не отключается, или бесперебойник > отключается только тогда, когда нагрузки нет ? бесперебойник отключается только тогда, когда нагрузки нет или она совсем мала (<15ватт, т.е. монитор в standby режиме) > >> ведь напряжение на выходе упса не пропадает и компы не >> знают, что им пора включиться. > > Никак, наверное. Разьве что поставить какой-нибудь рубильник, > который по IP управляется. > > Если всё это из-за необходимости держать свич до упора, А как иначе с нут-мастера на нут слэйв передать команду на завершение? лучше его на отдельный бесперебойник повесить. Отдельного бесперебойника нету > Если же проблема именно > в том, что таково поведение UPS, видимо, стоит его сменить. No comments ;) Но в общем мысль ясна. решения нету.... -- С уважением, Алексей Сидоров mailto:alex@reutman.ru JIT:alexsid@jabber.ru
On Thursday 20 April 2006 16:56, Alexey Sidorov wrote: > > Не понял фразу. Специально не отключается, или бесперебойник > > отключается только тогда, когда нагрузки нет ? > бесперебойник отключается только тогда, когда нагрузки нет или она совсем мала (<15ватт, т.е. монитор в standby режиме) > > Если же проблема именно > > в том, что таково поведение UPS, видимо, стоит его сменить. > No comments ;) Странный тогда бесперебойник... Ему точно никакой команды дать нельзя ? Может NUT просто нужное слово не знает ? И это, UPS не с USB ? А то вот: https://bugzilla.altlinux.org/show_bug.cgi?id=6514 -- С уважением, Сергей a_s_y@sama.ru
Sergey пишет:
> Странный тогда бесперебойник... Ему точно никакой команды дать нельзя ?
> Может NUT просто нужное слово не знает ? И это, UPS не с USB ? А то
> вот: https://bugzilla.altlinux.org/show_bug.cgi?id=6514
>
Не, бесперебойник на COM порте...
Команда есть, по крайней мере родная виндовая прога умеет его выключать
а nut'овский upscmd знает только "начать тест" :(
Видимо придётся выкинуть nut, и поставить родную проги
только там наоборот - виндовый сервер и линуховый клиент
Но гимора то-же хватает.
P/S Сдаётся мне это мой последний powercom'овский агрегат
--
С уважением, Алексей Сидоров
mailto:alex@reutman.ru
JIT:alexsid@jabber.ru
[-- Attachment #1: Type: text/plain, Size: 1189 bytes --] Alexey Sidorov пишет: > Sergey пишет: >> Странный тогда бесперебойник... Ему точно никакой команды дать нельзя ? >> Может NUT просто нужное слово не знает ? И это, UPS не с USB ? А то >> вот: https://bugzilla.altlinux.org/show_bug.cgi?id=6514 >> > Не, бесперебойник на COM порте... > > Команда есть, по крайней мере родная виндовая прога умеет его выключать > а nut'овский upscmd знает только "начать тест" :( > > Видимо придётся выкинуть nut, и поставить родную проги > только там наоборот - виндовый сервер и линуховый клиент > Но гимора то-же хватает. > > P/S Сдаётся мне это мой последний powercom'овский агрегат > Вывод совершенно виндовый... А Вы пробовали сконтактировать с разработчиками нута и помочь им "появить" в проге нужные команды? Раз уж Вы пользуетесь этими упсами и они у Вас есть. -- Rgrds, Andriy ********************************************************************* email: dobr at iop dot kiev dot ua Kyiv, Ukraine Phone: (380-44) 525-7824 Department of Gas Electronics Fax: (380-44) 525-2329 Institute of Physics of NASU ********************************************************************* [-- Attachment #2: OpenPGP digital signature --] [-- Type: application/pgp-signature, Size: 191 bytes --]
Andrii Dobrovol`s`kii пишет:
> Вывод совершенно виндовый... А Вы пробовали сконтактировать с
> разработчиками нута и помочь им "появить" в проге нужные команды?
> Раз уж Вы пользуетесь этими упсами и они у Вас есть.
>
С удовольствием пообщался бы с ними.
Но боюсь они по русски не поймут.
И по английски в моём исполнении наверное тоже :)
--
С уважением, Алексей Сидоров
mailto:alex@reutman.ru
JIT:alexsid@jabber.ru
Здравствуйте. Ну вот и сконтактировал с разработчиками.... Ответ: > Dear Alexey, > > The problem with the powercom module is that since there was no > documentation for it, my predecessor and I used a reverse engineering to > write an approximate driver. Unfortunately, only a subset of features works > and only on some Powercom class UPSs. > > Your only solution for now is, to do some programming on your own. Find out > how Upsmon configures the shutdown delay time. Try using some software to > log the COM port traffic on Windows, and see what code Upsmon sends to setup > the shutdown delay time on UPS. > On the other hand, find a friend with sufficient development and research > skill, to do it for you. Буду пробовать сам разобраться/дописать Вот только в результате сомневаюсь... -- С уважением, Алексей mailto:alex@reutman.ru
Сидоров Алексей пишет:
>
> Буду пробовать сам разобраться/дописать
> Вот только в результате сомневаюсь...
>
Вроде дописал, решил попробовать
начал собирать nut из src.rpm из сизифа, а он мне выдаёт зависимости
[alex@www SPECS]$ rpmbuild nut.spec
ошибка: неудовлетворенные зависимости сборки:
pkgconfig нужен для nut-2.0.2-alt2
libssl-devel нужен для nut-2.0.2-alt2
fontconfig-devel нужен для nut-2.0.2-alt2
freetype2-devel нужен для nut-2.0.2-alt2
libXpm-devel нужен для nut-2.0.2-alt2
libgd2-devel нужен для nut-2.0.2-alt2
libjpeg-devel нужен для nut-2.0.2-alt2
libpng-devel нужен для nut-2.0.2-alt2
libnet-snmp-devel нужен для nut-2.0.2-alt2
libusb-devel нужен для nut-2.0.2-alt2
Всё понимаю, но lib gd2/jpeg/png -то ему зачем?
Или я чего-то не понимаю?
--
С уважением, Алексей Сидоров
mailto:alex@reutman.ru
JIT:alexsid@jabber.ru
On Wednesday 26 April 2006 09:43, Alexey Sidorov wrote:
> Всё понимаю, но lib gd2/jpeg/png -то ему зачем?
> Или я чего-то не понимаю?
А он, часом, html-ки готовить не умеет для отображения ?
--
С уважением, Сергей
a_s_y@sama.ru
Sergey пишет:
> On Wednesday 26 April 2006 09:43, Alexey Sidorov wrote:
>
>> Всё понимаю, но lib gd2/jpeg/png -то ему зачем?
>> Или я чего-то не понимаю?
>
> А он, часом, html-ки готовить не умеет для отображения ?
>
Да я уже врубился....
для cgi :)
Кстати.
Выяснил, что нужно посылать в УПС (Powercom BNT-1200AP) для его вырубания
И похоже что драйвер посылает не то (судя по коду)
Пытаюсь дописать, но то-ли во время экспериментов УПС посадил, то-ли еще что-то но работает не так как надо (и даже не так как было :) )
Подзаряжу упс буду мучить ещё....
Может кто пособит с работой nut, а то мне как "новичку" тяжело разобраться....
--
С уважением, Алексей Сидоров
mailto:alex@reutman.ru
JIT:alexsid@jabber.ru
Alexey Sidorov пишет:
> Sergey пишет:
>> On Wednesday 26 April 2006 09:43, Alexey Sidorov wrote:
>>
>>> Всё понимаю, но lib gd2/jpeg/png -то ему зачем?
>>> Или я чего-то не понимаю?
>> А он, часом, html-ки готовить не умеет для отображения ?
>>
> Да я уже врубился....
> для cgi :)
>
> Кстати.
> Выяснил, что нужно посылать в УПС (Powercom BNT-1200AP) для его вырубания
> И похоже что драйвер посылает не то (судя по коду)
> Пытаюсь дописать, но то-ли во время экспериментов УПС посадил, то-ли еще что-то но работает не так как надо (и даже не так как было :) )
> Подзаряжу упс буду мучить ещё....
> Может кто пособит с работой nut, а то мне как "новичку" тяжело разобраться....
>
Кто-нибудь может сказать, как запустить
upscmd ..... ?
как ни пытаюсь, он всё какого-то юзера требует... :(
--
С уважением, Алексей Сидоров
mailto:alex@reutman.ru
JIT:alexsid@jabber.ru
Alexey Sidorov пишет:
>> Кстати.
>> Выяснил, что нужно посылать в УПС (Powercom BNT-1200AP) для его вырубания
>> И похоже что драйвер посылает не то (судя по коду)
>> Пытаюсь дописать, но то-ли во время экспериментов УПС посадил, то-ли еще что-то но работает не так как надо (и даже не так как было :) )
>> Подзаряжу упс буду мучить ещё....
>> Может кто пособит с работой nut, а то мне как "новичку" тяжело разобраться....
>>
> Кто-нибудь может сказать, как запустить
> upscmd ..... ?
> как ни пытаюсь, он всё какого-то юзера требует... :(
>
c upscmd разобрался :)
добавил в драйвер две функции: shutdown.return и shutdown.stayoff
попробовал сделать, что-б shutdown.return вызывался при завершении работы компов, для этого добавил его в void upsdrv_shutdown(void), но ничего не происходит. Не пойму почему. Кто вообще вызывает upsdrv_shutdown?
и второй вопрос:
пытаюсь собрать рпм
rpmbuild -bb ~/RPM/SPECS/nut.spec
выдаёт:
make: Leaving directory `/home/alex/RPM/BUILD/nut-2.0.2'
+ mkdir -p /home/alex/tmp/nut-buildroot/sbin
+ ln -s /lib/nut/upsdrvctl /home/alex/tmp/nut-buildroot/sbin/
+ ln -s apcsmart /home/alex/tmp/nut-buildroot/lib/nut/newapc
+ install -pD -m755 /home/alex/RPM/SOURCES/upsdrv.init /home/alex/tmp/nut-buildroot/etc/rc.d/init.d/upsdrv
install: cannot stat `/home/alex/RPM/SOURCES/upsdrv.init': No such file or directory
ошибка: Неверный код возврата из /home/alex/tmp/rpm-tmp.51311 (%install)
что не так?
--
С уважением, Алексей Сидоров
mailto:alex@reutman.ru
JIT:alexsid@jabber.ru
Сомнительно...
Разве только свич, автоматически порты в режим кросовера
перестраивает, а такое умеют только средней ценовой категории
железки. :)
В сообщении от 12 апреля 2006 13:20 Мерзляков Евгений Анатольевич написал(a):
> On Wed, 12 Apr 2006 14:10:34 +0400
>
> ABATAPA <dnsmaster@yandex.ru> wrote:
> > 12 апреля 2006 14:02, hozzzar написал:
> > > Они воткнули шнурок двумя концами в свич.
> >
> > При неправильно настроенном свиче и безруком админе - да.
> > При правильных - нет
>
> на глупых (неуправляемых) свитчах в легкую все летит в тартарары
--
С уважением,
Денис Кузнецов
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Здравствуйте, 12 Апрель 2006 16:02 вы писали:
> Гм... Сегодня открыл для себя новый способ убийства сети.
> Искали причину падения очень долго, пока не выяснили, что
> девушки из делопроизводства решили передвинуть компьютер.
> Они воткнули шнурок двумя концами в свич.
Парни, я прекрасно знаю разницу между хабами и свичами. И девушки
действительно воткнули корд в свич. Свич дешев, яркий
представитель стада, призванного заменить хабы.
- --
С искренним уважением и почтением,
Акулов Захар Валерьевич,
начальник отдела ИТ ООО "Фирма Макс",
г. Новый Уренгой
JID:hozzzar@jabber.ttn.ru
UIN:205051758
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.5 (GNU/Linux)
iD8DBQFEUXjEyVOkse5mdawRAnUyAJ9329uzXg9PBZJfSRoqb9HA2b/dAgCeKNpw
gRz4Z0ES9P+RkHNIhRhStE4=
=jfjK
-----END PGP SIGNATURE-----
Sergey пишет:
> Например, APC SmartUPS, если killpower получает, то, после отработки
> таймаута, снимает напряжение c выходов в любом случае, даже если
> питание появиться успело.
>
А какую конкретно модель посоветуете? Или любую SmartUPS?
Интересует именно такое поведение, т.к. будет подключен AT системник и
необходимо в любом случае снятие напряжения с выходов.
--
С наилучшими,
Олег Долгов
On Fri, 28 Apr 2006 11:57:52 +0300
Oleg Dolgov <dolgov@mail.zp.ua> wrote:
> Sergey пишет:
> > Например, APC SmartUPS, если killpower получает, то, после отработки
> > таймаута, снимает напряжение c выходов в любом случае, даже если
> > питание появиться успело.
> >
>
> А какую конкретно модель посоветуете? Или любую SmartUPS?
> Интересует именно такое поведение, т.к. будет подключен AT системник и
> необходимо в любом случае снятие напряжения с выходов.
у меня SmartUPS 1500, но я думаю, что так умеет любой SmartUPS
делать, на то он и Smart
On Fri, 28 Apr 2006 17:37:36 +0600
Мерзляков Евгений Анатольевич <hj@acoustics.ru> wrote:
> у меня SmartUPS 1500, но я думаю, что так умеет любой SmartUPS
> делать, на то он и Smart
У него даже можно перезаписывать параметры в EPROM и указывать ему, сколько ждать
после получения killpower м через сколько секунд включаться после появления
напряжения
On Friday 28 April 2006 13:57, Oleg Dolgov wrote:
> А какую конкретно модель посоветуете? Или любую SmartUPS?
> Интересует именно такое поведение, т.к. будет подключен AT системник и
> необходимо в любом случае снятие напряжения с выходов.
Smart - любой. Smart v/s, по-моему, тоже может. На сколько помню, у него
просто на выходе не апроксимация по синусоиде, а трапеция. А все фичи,
вроде бы, те же.
--
С уважением, Сергей
a_s_y@sama.ru
Ivan Fedorov пишет:
> Предлагаю закупать нормальное оборудование. Я вот например в Low-End
> перешел со всяких Dlink'ов и Compex'ов на Allied Telesyn. Оно конечно
> подороже будет, но вот таких приколов например не выдает - специально
> встал со стула, нашел патчкорд и закоротил ближайший свитч. Работает как
> это не удивительно!..
Обратный процесс ...на место сгоревших телесайнов
ставим длинк . А телесайны мне скоро сниться будут ..в страшных снах :(
--
Тутов Роман Викторович
ст.Системный администратор
ASTON Agro Industrial Company Group
Россия,344002, г.Ростов-на-Дону,Промзона "Заречная"
ул.1-я Луговая,3 тел.: (863 2) 999049
JID:tutov@jabber.aston.ru
mailto:tutov@aston.ru
с помошью чего можно вытащить немного инфа с полудохлого винта... винт преждевреммено сдох... смотрировать его немолучается... нашел тулзу, testdisk она даже показывает структуру каталога... значит не до конца умер винт...??? в логух вот такая лажа: May 5 16:06:25 mnr kernel: hdb: dma_intr: status=0x51 { DriveReady SeekComplete Error } May 5 16:06:25 mnr kernel: hdb: dma_intr: error=0x40 { UncorrectableError }, LBAsect=174063688, high=10, low=6291528, sector=174063688 May 5 16:06:25 mnr kernel: ide: failed opcode was: unknown May 5 16:06:25 mnr kernel: end_request: I/O error, dev hdb, sector 174063688 May 5 16:06:25 mnr kernel: Buffer I/O error on device hdb, logical block 21757961 чем пожно подергать инфу? -- С уважением, Макс.
5 мая 2006 16:24, Maks Re написал: > с помошью чего можно вытащить немного инфа с полудохлого винта... А подробнее писАть - как обычно, не будем? Мы все экстрасенсы... Под Linux, разумеется? Ибо под Win* масса прог. Какая FS? Можно хотя бы успеть скинуть образ с пока еще живого винта с пропуском сбойных секторов: dd if=/dev/hdXX of=/path/to/big/file conv=noerror Можно перед этим пройтись MHDD в неразрушающем скане. > винт преждевреммено сдох... Используйте S.M.A.R.T. Используйте MHDD. > нашел тулзу, testdisk она даже показывает структуру каталога... Где искали? В репозитарии? На freshmeat.net и sourceforge.net были? Если нет - значит, не искали. e2retrieve http://freshmeat.net/projects/e2retrieve/ Не под Linux (под Win), но работает с ext2: R-Linux Data Recovery Freeware 1.0 A tool to retrieve data from partial Ext2 filesystems. Да и сами e2fsprogs много что умеют. Кроме того, под Linux ( под windows - само собой) есть проги, восстанавливающие различные типы файлов из raw data по их структуре. > значит не до конца умер винт...??? Вопрос, видимо, риторический. -- ABATAPA
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 В сообщении от 5 Май 2006 15:24 Maks Re написал: > с помошью чего можно вытащить немного инфа с полудохлого винта... ... > в логух вот такая лажа: > > May 5 16:06:25 mnr kernel: hdb: dma_intr: status=0x51 { DriveReady > SeekComplete Error } > May 5 16:06:25 mnr kernel: hdb: dma_intr: error=0x40 { > UncorrectableError }, LBAsect=174063688, high=10, low=6291528, > sector=174063688 > May 5 16:06:25 mnr kernel: ide: failed opcode was: unknown > May 5 16:06:25 mnr kernel: end_request: I/O error, dev hdb, sector > 174063688 May 5 16:06:25 mnr kernel: Buffer I/O error on device hdb, > logical block 21757961 > > > чем пожно подергать инфу? возможно поможет gpart. - -- Best regards, Vladislav Bondarenko <admin<кусь>sumy.in.ua> ICQ 139376338; RLU 303694 -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.1 (GNU/Linux) iD8DBQFEW3GzZCG2I87vuxURAvKTAKCvWKWu4LqPWzkmMduDi87GXtEN/gCfWjso N59j9FWkehlwI8cIdpYVwMw= =GVbN -----END PGP SIGNATURE-----
извеняюсь, что забыл вписать подробности... да, фс ext3 искал софт пока только в репозитарии... за наводку, пасибо тебе человек-телепат с таблицей разделов все ОК (вроде как) там один раздел, и на весь размер... в 160Г... делать бекап содержимого винта через дд нет возможности, нету свободных таких больших... да и места то нету... [root@mnr root]# smartctl -a /dev/hdb -T permissive smartctl version 5.32 Copyright (C) 2002-4 Bruce Allen Home page is http://smartmontools.sourceforge.net/ === START OF INFORMATION SECTION === Device Model: ST3160023A Serial Number: 3JS4A748 Firmware Version: 8.01 Device is: In smartctl database [for details use: -P show] ATA Version is: 6 ATA Standard is: ATA/ATAPI-6 T13 1410D revision 2 Local Time is: Fri May 5 20:06:34 2006 MSD SMART support is: Available - device has SMART capability. SMART support is: Enabled Error SMART Status command failed: Success Please get assistance from http://smartmontools.sourceforge.net/ Register values returned from SMART Status command are: CMD=0xd1 FR =0x00 NS =0xd1 SC =0xd1 CL =0xd1 CH =0xd1 SEL=0xd1 === START OF READ SMART DATA SECTION === SMART overall-health self-assessment test result: PASSED General SMART Values: Offline data collection status: (0x00) Offline data collection activity was never started. Auto Offline Data Collection: Disabled. Total time to complete Offline data collection: ( 0) seconds. Offline data collection capabilities: (0x00) Offline data collection not supported. SMART capabilities: (0x0000) Automatic saving of SMART data is not implemented. Error logging capability: (0x00) Error logging supported. General Purpose Logging supported. SMART Error Log Version: 0 No Errors Logged SMART Self-test log structure revision number 1 No self-tests have been logged. [To run self-tests, use: smartctl -t] Device does not support Selective Self Tests/Logging вот так сругался смарт... On 5/5/06, Vladislav Bondarenko <admin@sumy.in.ua> wrote: > -----BEGIN PGP SIGNED MESSAGE----- > Hash: SHA1 > > В сообщении от 5 Май 2006 15:24 Maks Re написал: > > с помошью чего можно вытащить немного инфа с полудохлого винта... > ... > > в логух вот такая лажа: > > > > May 5 16:06:25 mnr kernel: hdb: dma_intr: status=0x51 { DriveReady > > SeekComplete Error } > > May 5 16:06:25 mnr kernel: hdb: dma_intr: error=0x40 { > > UncorrectableError }, LBAsect=174063688, high=10, low=6291528, > > sector=174063688 > > May 5 16:06:25 mnr kernel: ide: failed opcode was: unknown > > May 5 16:06:25 mnr kernel: end_request: I/O error, dev hdb, sector > > 174063688 May 5 16:06:25 mnr kernel: Buffer I/O error on device hdb, > > logical block 21757961 > > > > > > чем пожно подергать инфу? > > возможно поможет gpart. > > - -- > Best regards, > Vladislav Bondarenko <admin<кусь>sumy.in.ua> > ICQ 139376338; RLU 303694 > -----BEGIN PGP SIGNATURE----- > Version: GnuPG v1.2.1 (GNU/Linux) > > iD8DBQFEW3GzZCG2I87vuxURAvKTAKCvWKWu4LqPWzkmMduDi87GXtEN/gCfWjso > N59j9FWkehlwI8cIdpYVwMw= > =GVbN > -----END PGP SIGNATURE----- > _______________________________________________ > Sysadmins mailing list > Sysadmins@lists.altlinux.org > https://lists.altlinux.org/mailman/listinfo/sysadmins > -- С уважением, Макс.
Приветствую! Интересует такой вопрос - можно ли средствами exim и dovecot органичить доступ из-вне по SMTP и POP3 для определенного домена? -- WBR, Osipov Andrei
Здравствуйте, Andrei. Вы писали 10 мая 2006 г., 16:48:02: AO> Интересует такой вопрос - можно ли средствами exim и dovecot AO> органичить доступ из-вне по SMTP и POP3 для определенного домена? SMTP В конфигурацию ACL для входящей почты: deny message = "Не нравится мне Ваш хост..." condition = ${if match{$sender_host_name}{petrov|sidorov}{yes}{no}} -- С уважением, Anatol
On 5/10/06, Anatol B. Bazjukin <anatol@vb3397.spb.edu> wrote:
> SMTP
> В конфигурацию ACL для входящей почты:
> deny message = "Не нравится мне Ваш хост..."
> condition = ${if match{$sender_host_name}{petrov|sidorov}{yes}{no}}
Я, наверное, неправильно выразился :-) Поясняю: есть сервер, на нем
крутится определенное количество почтовых доменов, нужно закрыть извне
доступ по SMTP и POP3 к определенному домену...
--
WBR, Osipov Andrei
Andrei Osipov wrote:
> Интересует такой вопрос - можно ли средствами exim и dovecot
> органичить доступ из-вне по SMTP и POP3 для определенного домена?
В exim можно так, в acl_smtp_rcpt:
deny message = RCPT domain $domain is closed for you.
set acl_m0 = ${if eq{$domain}{mydomain.com} {yes}{no} }
set acl_m1 = ${lookup{$sender_host_address}\
lsearch{/path/to/file/deny}{yes}{no}}
condition = ${if and { {eq{$acl_m0}{yes}}\
{eq{$acl_m1}{yes}} } }
Файл deny содержит "из вне":
192.168.1.1
172.16.0.1
..
--
Anton Kvashin
Всем спасибо за ответы... Только я подумал, если я закрою доступ к домену снаружи, то как почта на этот домен будет приходить? По большому счету мне нужно заставить пользователей данного домена пользоваться только веб-мордой, но не почтовыми клиентами... У меня работает smtp-авторизация, может достаточно будет там покрутить? Или есть какое-то другое, более кошерное решение? -- WBR, Osipov Andrei
On Thu, Apr 27, 2006 at 03:55:07PM +0400, Alexey Sidorov wrote: > и второй вопрос: пытаюсь собрать рпм > rpmbuild -bb ~/RPM/SPECS/nut.spec выдаёт: > + install -pD -m755 /home/alex/RPM/SOURCES/upsdrv.init /home/alex/tmp/nut-buildroot/etc/rc.d/init.d/upsdrv > install: cannot stat `/home/alex/RPM/SOURCES/upsdrv.init': No such file or directory > ошибка: Неверный код возврата из /home/alex/tmp/rpm-tmp.51311 (%install) > что не так? Этот файл существует? (/home/alex/RPM/SOURCES/upsdrv.init) Если нет -- проверьте/возьмите из src.rpm его и остальную наличествующую обвязку. -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/
А что народскажет вот об этом http://www.shimari.com/dm-crypt-on-raid/ ? А то стоит у меня сейчас выбор -что юзать - truecrypt или ещё что-то.. раньше юзал bestcrypt, но от нео по различным причинам пршлось отказаться. -- np: silence ( Winamp ушел в Партизаны ;-)
On Thu, 25 May 2006 09:33:37 +0400 Anton Gorlov wrote: > А что народскажет вот об этом > http://www.shimari.com/dm-crypt-on-raid/ ? А что об этом говорить? Работает без особых вопросов. Сейчас, правда, лучше использовать cryptsetup-luks: http://luks.endorphin.org/dm-crypt В Sisyphus пакет есть. Я планирую на этих выходных собрать новую версию, заодно закрыть #8300 - запрос на README.ALT. Поверх RAID работает. Возиться с swap не пробовал, хотя, по идее, проблем быть не должно. И прежде чем помещать на защищенный диск целиком /home, лучше предварительно оценить возможности машины, процессор оно грузит вполне ощутимо. > А то стоит у меня сейчас выбор -что юзать - truecrypt или ещё что-то.. > раньше юзал bestcrypt, но от нео по различным причинам пршлось отказаться. На truecrypt смотрел, но в нём требуется сборка модуля ядра. По сравнению с LUKS у него, IMHO, только одно преимущество - поддержка plausible denial в виде скрытых дисков. Но требование при этом работы только с FAT как-то сводит это преимущество под Linux к нулю. -- С уважением, Николай Фетисов
Nikolay A. Fetisov пишет:
> Поверх RAID работает. Возиться с swap не пробовал, хотя, по идее,
> проблем быть не должно. И прежде чем помещать на защищенный диск
> целиком /home, лучше предварительно оценить возможности машины,
> процессор оно грузит вполне ощутимо.
хм.. когда у меня был bestcrypt..вернее он был до меня -то более-менее
на 50 пользователей справлялся целерон 1,8 (знаю что изврат..но это
тяжкое наследство.. от которого избавляюсь потихоньку). Там шара с кучей
документов...
--
np: silence ( Winamp ушел в Партизаны ;-)
On Thu, 25 May 2006 10:37:27 +0400 Anton Gorlov wrote: > Nikolay A. Fetisov пишет: > > Поверх RAID работает. Возиться с swap не пробовал, хотя, по идее, > > проблем быть не должно. И прежде чем помещать на защищенный диск > > целиком /home, лучше предварительно оценить возможности машины, > > процессор оно грузит вполне ощутимо. > хм.. когда у меня был bestcrypt..вернее он был до меня -то более-менее > на 50 пользователей справлялся целерон 1,8 (знаю что изврат..но это > тяжкое наследство.. от которого избавляюсь потихоньку). Там шара с кучей > документов... Я и говорю - _лучше предварительно оценить_. Здесь есть сравнение производительности для Athlon 2 GHz и Celeron 1.2 GHz: http://www.saout.de/tikiwiki/tiki-index.php?page=UserPageChonhulio Видно, что при подключении устройств через dm-crypt скорость чтения и записи выравниваются и определяются производительностью процессора. Из модулей лучше использовать aes-i586. Ну и даже Celeron 1.2 GHz обеспечивал работу со скоростью порядка 14-15 Mb/s, т.е. для файл-сервера, раздающего документы по сетке 100TX, этого всё равно более чем достаточно; количество клиентов определяется возможностями сети. А вот потери производительности при, например, сборке программ на разделе dm-crypt, будут уже весьма ощутимы. -- С уважением, Николай Фетисов
-----Original Message----- From: "Dmitry Ficus" <ficusovnet@gmail.com> To: sysadmins@lists.altlinux.org Date: Sat, 27 May 2006 13:53:31 +0400 Subject: [Sysadmins] форум >Доброго времени суток Уважаемые!!!! >- есть веб хостинг (апач, mysql, php) >Хотелось бы узнать следующее- какой движок для форума посоветуете. >Требования к движку- админство через веб, регистрация пользователей с >защитой от ботов. >Смотрел в сторону phpbb2 но поставив его затыркался от кучи глюков :-) >Заранее спасибо за ответы. punbb (http://punbb.org/)
> Хотелось бы узнать следующее- какой движок для форума посоветуете. > Требования к движку- админство через веб, регистрация пользователей с > защитой от ботов. > Смотрел в сторону phpbb2 но поставив его затыркался от кучи глюков :-) > Заранее спасибо за ответы. SMF - http://www.simplemachines.org/
>Доброго времени суток Уважаемые!!!! >- есть веб хостинг (апач, mysql, php) >Хотелось бы узнать следующее- какой движок для форума посоветуете. >Требования к движку- админство через веб, регистрация пользователей с >защитой от ботов. >Смотрел в сторону phpbb2 но поставив его затыркался от кучи глюков :-) >Заранее спасибо за ответы. Здравствуйте. Я как-то пробовал FUDforum (http://fudforum.org). Довольно интересный движок. Да и читал про него в PHP Inside, что довольно надежный по сравнению с другими. Думаю, вам стоит посмотреть его. ;) Я был вполне доволен. С уважением, Сергей В. Миних
25 мая 2006 09:33, Anton Gorlov написал: > А что народскажет вот об этом > http://www.shimari.com/dm-crypt-on-raid/ ? > > А то стоит у меня сейчас выбор -что юзать - truecrypt или ещё что-то.. > раньше юзал bestcrypt, но от нео по различным причинам пршлось отказаться. Вообще-то, это совсем разные вещи, и задачи разные. Для мобильных носителей (и не только) рекомендую cruptsetup + LUKS + FreeOTFE (http://www.freeotfe.org/) - последний для монтирования в Windows (превосходная вещь!). Тома LUKS идентифицируются по заголовку, но они удобнее во многом, особенно на записываемых дисках - в LUKS можно менять пароли (и добавлять/удалять) для имеющегося контейнера. А если создать (dd if=/dev/urandom of=file.img) контейнер и просто его зашифровать через cryptsetup (ранее в старых ядрах - cryptoloop). Так что вы уж определитесь с задачей... -- С уважением, Александров Александр, ООО "Арком", Мурманский узел Equant +7 (8152) 45-10-00 -- ABATAPA
Здравствуйте. Следующий сабж: возможно ли технически поднять полноценный почтовый сервер на машине, не имеющей зарегистрированного доменного имени? С тем, естественно, учётом, чтобы люди в локалке, чьим сервером машина и является могли отправлять и получать почту в/из интернета. -- Мы видим сны не для того, чтоб просыпаться, поэтому - пока... ICQ:295374679
On Wed, 21 Jun 2006 20:33:51 +0600
Andrey Konovalov aka Krapa wrote:
> Здравствуйте. Следующий сабж: возможно ли технически
> поднять полноценный почтовый сервер на машине, не имеющей
> зарегистрированного доменного имени? С тем, естественно,
> учётом, чтобы люди в локалке, чьим сервером машина и является
> могли отправлять и получать почту в/из интернета.
На глупый вопрос будет глупый ответ:
Нет, нельзя.
Без нормальной записи в ДНС ваш сервер будет игнорироваться
другими почтовыми серверами, и в течение короткого времени ваш
внешний адрес попадет в блок-листы...
Вам же почту передать из Инета будет попросту невозможно, так
как ваш сервер не имеет МХ записи, и не может выступать в
качестве почтового сервера...
Так же, у вас не получится поднять полноценный сервер в случае,
если адрес выделяется динамически ...
Если нужно поставить нормальный сервер, то потребуется
постоянный адрес и правильная настройка внешнего ДНС.
А для внутренней сети можете сделать все, что вам захочется ...
Поставьте свой ДНС и пропишите себя правильно ...
Все будет работать...
--
Best regards,
Dmitriy L. Kruglikov .--.
Dmitriy.Kruglikov_at_orionagro.com.ua |@_@ |
DKR6-RIPE |!_/ |
ICQ# 13047326 // \ \
XMPP:dkr6@jabber.ru (| | )
/'\_ _/`\
Powered by Linux \___)=(___/
-- Мысль --
- Что такое фокстрот?
- Это любовь стоя.
В сообщении от Ср 21 Июнь 2006 20:45 Dmitriy L. Kruglikov написал(a): > На глупый вопрос будет глупый ответ: > Нет, нельзя. Так я во-общем то и предполагал. Просто удостовериться хотел. > Без нормальной записи в ДНС ваш сервер будет игнорироваться > другими почтовыми серверами, и в течение короткого времени ваш > внешний адрес попадет в блок-листы... > Вам же почту передать из Инета будет попросту невозможно, так > как ваш сервер не имеет МХ записи, и не может выступать в > качестве почтового сервера... > > Так же, у вас не получится поднять полноценный сервер в случае, > если адрес выделяется динамически ... Он статический, но в данном случае не суть важно. > Если нужно поставить нормальный сервер, то потребуется > постоянный адрес и правильная настройка внешнего ДНС. > > А для внутренней сети можете сделать все, что вам захочется ... > Поставьте свой ДНС и пропишите себя правильно ... > Все будет работать... А это сильно поморочено - ДНС имя регистрировать? -- Мы видим сны не для того, чтоб просыпаться, поэтому - пока... ICQ:295374679
В сообщении от 21 июня 2006 21:51 Andrey Konovalov aka Krapa написал(a):
[skip]
>
> А это сильно поморочено - ДНС имя регистрировать?
Обратись по этому вопросу к своему провайдеру, может ли он к своему домену
приписать типа субдомена чтоли...
--
/vip
On Wed, 21 Jun 2006 22:12:15 +0700
Vyatcheslav Perevalov wrote:
> > А это сильно поморочено - ДНС имя регистрировать?
> Обратись по этому вопросу к своему провайдеру, может ли он к
> своему домену приписать типа субдомена чтоли...
Это не обязательно.
Теоретически, запись можно сделать на любом сервере DNS.
Но будет правильно, если эта запись будет у того, за кем
закреплен данный диапазон адресов ...
Или уровнем выше ...
И это не обязательно будет субдомен.
Если домен провайдера isp.ru,
то домен абонента может быть firma.com,
а не firma.isp.ru
--
Best regards,
Dmitriy L. Kruglikov .--.
Dmitriy.Kruglikov_at_orionagro.com.ua |@_@ |
DKR6-RIPE |!_/ |
ICQ# 13047326 // \ \
XMPP:dkr6@jabber.ru (| | )
/'\_ _/`\
Powered by Linux \___)=(___/
-- Мысль --
Любовь для праздного человека - занятие, для воина -
развлечение, для государя - подводный камень.
-- Наполеон Бонапарт
On Wed, Jun 21, 2006 at 05:45:49PM +0300, Dmitriy L. Kruglikov wrote: > > поднять полноценный почтовый сервер на машине, не имеющей > > зарегистрированного доменного имени? С тем, естественно, > > учётом, чтобы люди в локалке, чьим сервером машина и является > > могли отправлять и получать почту в/из интернета. > На глупый вопрос будет глупый ответ: > Нет, нельзя. Ответ действительно глупый -- без MX принято отправлять прямо на A, ну или на IP. -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/
Dmitriy L. Kruglikov пишет: > Теоретически, запись можно сделать на любом сервере DNS. Прямую да..а вот обратку может сделать только тот, кто выдал вам ip-адресс и кому этот IP принадлежит.. > Но будет правильно, если эта запись будет у того, за кем > закреплен данный диапазон адресов ... Для прфмой записи глубоко фиолетово. Живлй пример я -обратку мне сделал мой првоайдер..а прму. подарил соседний провайдер. ;-)
On Wed, 21 Jun 2006 20:11:57 +0300
mike@212.40.36.150 wrote:
> > На глупый вопрос будет глупый ответ:
> > Нет, нельзя.
>
> Ответ действительно глупый -- без MX принято отправлять прямо
> на A, ну или на IP.
Ну так по условиям задачи сервер не имеет А-записи...
А предложить для работающей конторы вариант адресов
principal@82.90.92.156 - будет еще хуже :)
Вот потому ответ и глупый :)
Начинающему сисадмину за такое отобьют весь энтузиазм напрочь :)
Так что, пущай коллега заказывает нормальный DNS ...
А дальше мы ему поможем нормально поставить почту с
антивирусами, антиспамами, адресной книгой центральной,
внутренним новостным сервером и всякими примочками типа sieve ...
А потом человек покажет работоспособельность этого всего своему
шефу, и тут же скажет, сколько бы это стоило на "самой надежной"
платформе :)
Глядишь, добавят к зарплате какую-нибудь циферку :)
И труд хорошего человека будет оплачен более достойно :)
:-)
Напоминаю ...
В этом треде все ответы глупые...
Следовательно, разжигание флейма на тему вышеизложенных
[умо|глупо]заключений так же будет считаться глупостью :)
:-[
--
Best regards,
Dmitriy L. Kruglikov .--.
Dmitriy.Kruglikov_at_orionagro.com.ua |@_@ |
DKR6-RIPE |!_/ |
ICQ# 13047326 // \ \
XMPP:dkr6@jabber.ru (| | )
/'\_ _/`\
Powered by Linux \___)=(___/
-- Мысль --
Женщину нужно завоевывать одной смелой атакой... Плохо только
то, что за излишним усердием вы не успеваете разглядеть свой
приз... -- Андрей Галямин
> Здравствуйте. Следующий сабж: возможно ли технически поднять полноценный
> почтовый сервер на машине, не имеющей зарегистрированного доменного имени?
У меня одно время был сервер в локалке, на postfix с опцией:
smtp_helo_name = domain.tld
указывающий на реальный хост который видит эту локалку и видет инет. Хорошо
работал. Правда все равно одна реальная машина нужна точно.
Здравствуйте, Andrey. Вы писали среда 21 июня 2006 г., 17:33:51: AKaK> Следующий сабж: возможно ли технически поднять полноценный AKaK> почтовый сервер на машине, не имеющей зарегистрированного доменного имени? С AKaK> тем, естественно, учётом, чтобы люди в локалке, чьим сервером машина и AKaK> является могли отправлять и получать почту в/из интернета. 1 вариант: Если выделен реальный IP Попробуйте службу http://www.dyndns.com/ насколько я помню, она была бесплатна и на домен делалась MX-запись. по-идее почтовые адреса должны быть похожи на user@firma.dyndns.com (или что-то похожее) почта принимается и отсылается через postfix 2 вариант: Если приватный или реальный IP Почтовые адреса делаются на бесплатных серверах почта с аккаунтов собирается fetchmail и передается postfix отправляется почта как обычно через postfix Без обратной зоны желательно настроить отсылку почты postfix через smtp-сервер провайдера, т.к. можете попадать под спам-фильтры Естественно оба варианта предусматривают и установку какого-нибудь локального POP3/IMAP сервера -- С уважением, Dank
Dank Bagryantsev пишет:
> 1 вариант:
> Если выделен реальный IP
> Попробуйте службу http://www.dyndns.com/
> насколько я помню, она была бесплатна и на домен делалась MX-запись.
И чем же dyndns поможет, если обратной записи нет..или оноа не валидная?
В сообщении от Чт 22 Июнь 2006 16:41 Dank Bagryantsev написал(a): > 2 вариант: > Если приватный или реальный IP > Почтовые адреса делаются на бесплатных серверах Это мне для ~50 пользователей почтовые ящики регистрировать? Может, конечно, и решение, но уж больно мазохизмом попахивает. Да и адреса вида @administration.kirovgrad.ru посимпатичнее выглядят, чем куча мала из @yandex.ru и иже с ними. > почта с аккаунтов собирается fetchmail и передается postfix > отправляется почта как обычно через postfix > > Без обратной зоны желательно настроить отсылку почты postfix > через smtp-сервер провайдера, т.к. можете попадать под спам-фильтры > Естественно оба варианта предусматривают и установку какого-нибудь > локального POP3/IMAP сервера -- Мы видим сны не для того, чтоб просыпаться, поэтому - пока... ICQ:295374679
On Thu, 22 Jun 2006 18:49:29 +0600 Andrey Konovalov aka Krapa wrote:
> Да и адреса вида @administration.kirovgrad.ru посимпатичнее выглядят, чем куча мала из
> @yandex.ru и иже с ними.
Вы правы. Купить реальный ip-адрес и доменное имя третьего уровня не так уж и дорого.
В сообщении от Чт 22 Июнь 2006 13:11 Dmitriy L. Kruglikov написал(a): > Так что, пущай коллега заказывает нормальный DNS ... > А дальше мы ему поможем нормально поставить почту с > антивирусами, антиспамами, адресной книгой центральной, > внутренним новостным сервером и всякими примочками типа sieve ... > > А потом человек покажет работоспособельность этого всего своему > шефу, и тут же скажет, сколько бы это стоило на "самой надежной" > платформе :) > > Глядишь, добавят к зарплате какую-нибудь циферку :) > И труд хорошего человека будет оплачен более достойно :) Не сыпьте мне соль на перец :-( Администрации городов-провинций это такая задница. > Напоминаю ... > В этом треде все ответы глупые... > Следовательно, разжигание флейма на тему вышеизложенных > [умо|глупо]заключений так же будет считаться глупостью :) О как удачно тему выбрал :-). Во-общем - всем спасибо за участие. Появится нормальный DNS, буду вас всех дальше пытать. -- Мы видим сны не для того, чтоб просыпаться, поэтому - пока... ICQ:295374679
On Thu, 22 Jun 2006 18:55:37 +0600 Andrey Konovalov aka Krapa wrote: > Появится нормальный DNS, буду вас всех дальше пытать. И почитай, например, http://pm4u.narod.ru Лишним не будет, зато много полезного там почерпнёшь.
Здравствуйте, Andrey.
Вы писали четверг 22 июня 2006 г., 15:49:29:
AKaK> В сообщении от Чт 22 Июнь 2006 16:41 Dank Bagryantsev написал(a):
>> 2 вариант:
>> Если приватный или реальный IP
>> Почтовые адреса делаются на бесплатных серверах
AKaK> Это мне для ~50 пользователей почтовые ящики регистрировать? Может, конечно, и
AKaK> решение, но уж больно мазохизмом попахивает. Да и адреса вида
AKaK> @administration.kirovgrad.ru посимпатичнее выглядят, чем куча мала из
AKaK> @yandex.ru и иже с ними.
Я ж не знаю всех Ваших условий, возможностей оплаты и контактов с
провайдером... То что я предложил делается бесплатно и никого не надо
уговаривать.
Конечно, как уже говорилось, более правильное решение - реальный
статический IP, свой (суб)домен + DNS + запись в обратной зоне
--
С уважением,
Dank
On Thu, 22 Jun 2006 18:55:37 +0600
Andrey Konovalov aka Krapa wrote:
> Не сыпьте мне соль на перец :-( Администрации
> городов-провинций это такая задница.
Оно то конечно, и спорить не приходится ....
Это с одной стороны ...
А с другой стороны, на уровне мерии проще решить вопрос с тем же
УкрТелеком ....
Это то же задница .... При чем, поболе будет, чем
администрация ...
Договорятся, думаю ... :)
--
Best regards,
Dmitriy L. Kruglikov .--.
Dmitriy.Kruglikov_at_orionagro.com.ua |@_@ |
DKR6-RIPE |!_/ |
ICQ# 13047326 // \ \
XMPP:dkr6@jabber.ru (| | )
/'\_ _/`\
Powered by Linux \___)=(___/
-- Мысль --
Сладка малина, да крапива жжется.
-- Осетинская пословица
On Thu, Jun 22, 2006 at 10:11:08AM +0300, Dmitriy L. Kruglikov wrote: > Начинающему сисадмину за такое отобьют весь энтузиазм напрочь :) Эт да. Но технически... :-) > Так что, пущай коллега заказывает нормальный DNS ... ...или предложить использовать mail.ru / gmail.com / whatever, которые при особом желании можно и форвардить на user@ip. -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/
В сообщении от Чт 22 Июнь 2006 19:48 Dmitriy L. Kruglikov написал(a):
> On Thu, 22 Jun 2006 18:55:37 +0600
>
> Andrey Konovalov aka Krapa wrote:
> > Не сыпьте мне соль на перец :-( Администрации
> > городов-провинций это такая задница.
>
> Оно то конечно, и спорить не приходится ....
> Это с одной стороны ...
> А с другой стороны, на уровне мерии проще решить вопрос с тем же
> УкрТелеком ....
> Это то же задница .... При чем, поболе будет, чем
> администрация ...
> Договорятся, думаю ... :)
У нас провайдер маленький, скромный. С админом ещё поближе сойтись и
ладненько.
--
Мы видим сны не для того, чтоб просыпаться, поэтому - пока...
ICQ:295374679
В сообщении от Чт 22 Июнь 2006 19:28 Dank Bagryantsev написал(a): > Я ж не знаю всех Ваших условий, возможностей оплаты и контактов с > провайдером... То что я предложил делается бесплатно и никого не надо > уговаривать. Да, конечно, но это решение на крайний случай ибо больно уж геморройно :-) > Конечно, как уже говорилось, более правильное решение - реальный > статический IP, свой (суб)домен + DNS + запись в обратной зоне IP и так уже реальный статический, остальное, надеюсь, приложится. -- Мы видим сны не для того, чтоб просыпаться, поэтому - пока... ICQ:295374679
Не напомнит ли многоуважаемое сообщество, как на сишке реализовать очистку консоли или размещение курсора в заданной позиции, прежде чем вывести на консоль некий текст? ________________________ С уважением, Вадим Илларионов системный администратор Усолье-Сибирский почтамт JID: см. <mailto:> UIN: 7899517 Телефоны: Мобильный +7 904 658-4154 Рабочий +7 39543 444-00
[-- Attachment #1: Type: text/plain, Size: 548 bytes --] Здравствуйте Вадим Илларионов В сообщении от 23 июня 2006 04:41 Вадим Илларионов написал(a): > Не напомнит ли многоуважаемое сообщество, как на сишке реализовать > очистку > > консоли или размещение курсора в заданной позиции, прежде чем > вывести на > > консоль некий текст? > Через ncurses -- А ещё говорят так (fortune): Не хочу, чтобы меня защищал адвокат; хочу, чтобы меня защищал Закон. -- Евгений Кащеев ________________________________________________________________________ С уважением Хихин Руслан (hihin@rambler.ru) [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
Здравствуйте, Andrey.
Вы писали четверг 22 июня 2006 г., 20:17:57:
>> Конечно, как уже говорилось, более правильное решение - реальный
>> статический IP, свой (суб)домен + DNS + запись в обратной зоне
AKaK> IP и так уже реальный статический, остальное, надеюсь, приложится.
Кстати, если Ваша организация имеет статус органа государственной
власти Российской Федерации, то имеет смысл подумать о регистрации
домена в зоне gov.ru (kirovgrad.gov.ru ?). Возможно, это будет даже и
бесплатно, поищите информацию.
--
С уважением,
Dank
В сообщении от Пт 23 Июнь 2006 14:09 Dank Bagryantsev написал(a):
> Здравствуйте, Andrey.
>
> Вы писали четверг 22 июня 2006 г., 20:17:57:
> >> Конечно, как уже говорилось, более правильное решение - реальный
> >> статический IP, свой (суб)домен + DNS + запись в обратной зоне
>
> AKaK> IP и так уже реальный статический, остальное, надеюсь, приложится.
>
> Кстати, если Ваша организация имеет статус органа государственной
> власти Российской Федерации, то имеет смысл подумать о регистрации
> домена в зоне gov.ru (kirovgrad.gov.ru ?). Возможно, это будет даже и
> бесплатно, поищите информацию.
Интересная мысль. Попробую поискать, хотя навскидку не представляю - где.
--
Мы видим сны не для того, чтоб просыпаться, поэтому - пока...
ICQ:295374679
Хихин Руслан wrote:
> > Не напомнит ли многоуважаемое сообщество, как на сишке реализовать
> > очистку
> >
> > консоли или размещение курсора в заданной позиции, прежде чем
> > вывести на
> >
> > консоль некий текст?
> >
> Через ncurses
Разбираться с нкурсами некогда. Ни разу под них ничего не писал, и чужой код
не анализировал. Задачка-то простая. Есть исходники femon и szap. Я на
скорую руку локализовал их (заменой 3 строчек) и конвертнул вывод из hex в
совеЦЦкие проценты. Нужно это исключительно для того, чтобы при юстировке
тарелки мне помогал любой неискушённый юзер, просто диктуя по мобиле
выводимые на консоль значения.
И так, вроде, всё путём получилось, однако ж я ещё эстетики взалкал - чтобы
не замусоривать экран прежними итерациями, а выводить на него несколько
строчек в одном и том же месте с "пляшущими" процентами мощности сигнала и
его качества. Да вот склероз одолел. Последний раз сишку юзал пару
пятилеток назад.
________________________
С уважением,
Вадим Илларионов
системный администратор
Усолье-Сибирский почтамт
JID: см. <mailto:>
UIN: 7899517
Телефоны:
Мобильный +7 904 658-4154
Рабочий +7 39543 444-00
> Есть исходники femon и szap. Я на скорую руку локализовал их
> (заменой 3 строчек) и конвертнул вывод из hex в совеЦЦкие проценты.
// Было:
/*
printf ("status %02x | signal %04x | snr %04x | ber %08x | unc %08x | ",
status, signal, snr, ber, uncorrected_blocks);
if (status & FE_HAS_LOCK)
printf("FE_HAS_LOCK");
usleep(1000000);
*/
// Стало:
// Здесь нужно либо очистить экран, либо поместить курсор в 0,0;
printf ("\n__________________\nСигнал со спутника\n");
status & FE_HAS_LOCK ? printf(" ЗАФИКСИРОВАН\n") : printf("\n");
printf ("__________________\nМощность : %3d%\nКачество : %3d%
\nОшибки : %4d\nНеисправимые: %4d\n",
signal*0x64/0xffff, snr*0x64/0xffff, ber, uncorrected_blocks);
usleep(500000);
________________________
С уважением,
Вадим Илларионов
системный администратор
Усолье-Сибирский почтамт
JID: см. <mailto:>
UIN: 7899517
Телефоны:
Мобильный +7 904 658-4154
Рабочий +7 39543 444-00
[-- Attachment #1: Type: text/plain, Size: 326 bytes --] Здравствуйте Вадим Илларионов Посмотрите : http://www.linuxfocus.org/Russian/March2002/article233.shtml -- А ещё говорят так (fortune): Когда все ошибаются, это значит, что все правы. -- П. Ла Шоссе ________________________________________________________________________ С уважением Хихин Руслан (hihin@rambler.ru) [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
> // Здесь нужно либо очистить экран, либо поместить курсор в 0,0;
> printf ("\n__________________\nСигнал со спутника\n");
printf ("\033c\n___\n");
Пойдет?
Vadim Gusev wrote:
>> // Здесь нужно либо очистить экран, либо поместить курсор в 0,0;
>> printf ("\n__________________\nСигнал со спутника\n");
>
> printf ("\033c\n___\n");
> Пойдет?
Спасибо! Про искейп-последовательности-то я и запамятовал...
________________________
С уважением,
Вадим Илларионов
системный администратор
Усолье-Сибирский почтамт
JID: см. <mailto:>
UIN: 7899517
Телефоны:
Мобильный +7 904 658-4154
Рабочий +7 39543 444-00
Появилось желание поднять прозрачный прокси..Точнее он уже есть на тестовом сервере и даже работает.. Но встала 1 задача - добиться чтоб на несколько локальных подсеток трафик ходил мимо прокси. На сколько я понимаю в правиле для iptables нельзя несколько -d указать. Что здесь можно придумать? # iptables -t NAT -A PREROUTING -d ! адрес_самого_сервера \ -i внутренний_сетевой_интерфейс -p tcp -m tcp --dport 80 \ -j REDIRECT --to-ports 3128 -- np: silence ( Winamp ушел в Партизаны ;-)
В сообщении от 10 июля 2006 13:13 Anton Gorlov написал(a):
> # iptables -t NAT -A PREROUTING -d ! адрес_самого_сервера \
> -i внутренний_сетевой_интерфейс -p tcp -m tcp --dport 80 \
> -j REDIRECT --to-ports 3128
Не адрес самой подсетки ... :) И несколько правил для каждой подсетки.
--
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
ICQ: 271053845
Шенцев Алексей Владимирович пишет:
> В сообщении от 10 июля 2006 13:13 Anton Gorlov написал(a):
>> # iptables -t NAT -A PREROUTING -d ! адрес_самого_сервера \
>> -i внутренний_сетевой_интерфейс -p tcp -m tcp --dport 80 \
>> -j REDIRECT --to-ports 3128
> Не адрес самой подсетки ... :) И несколько правил для каждой подсетки.
э.. не понял.. Что значит не адресс самой подсетки?
и как должны правила выглядеть получается...
бо если я тут сделаю скажем -d ! 192.168.1.0/24 то для всех остальных
подсеток оно уже завернётся.
--
np: silence ( Winamp ушел в Партизаны ;-)
Здравствуйте, Anton. Вы писали понедельник 10 июля 2006 г., 12:13:04: AG> Появилось желание поднять прозрачный прокси..Точнее он уже есть на AG> тестовом сервере и даже работает.. Но встала 1 задача - добиться чтоб на AG> несколько локальных подсеток трафик ходил мимо прокси. AG> На сколько я понимаю в правиле для iptables нельзя несколько -d указать. AG> Что здесь можно придумать? AG> # iptables -t NAT -A PREROUTING -d ! адрес_самого_сервера \ AG> -i внутренний_сетевой_интерфейс -p tcp -m tcp --dport 80 \ AG> -j REDIRECT --to-ports 3128 2 варианта: 1. Через ACCEPT: $IPTABLES -t nat -A PREROUTING -p tcp -i внутренний_сетевой_интерфейс -d 192.168.1.0/24 --dport 80 -j ACCEPT $IPTABLES -t nat -A PREROUTING -p tcp -i внутренний_сетевой_интерфейс -d 192.168.2.0/24 --dport 80 -j ACCEPT $IPTABLES -t nat -A PREROUTING -p tcp -i внутренний_сетевой_интерфейс -d адрес_самого_сервера --dport 80 -j ACCEPT $IPTABLES -t nat -A PREROUTING -p tcp -i внутренний_сетевой_интерфейс --dport 80 -j REDIRECT --to-ports 3128 2. Через mark: $IPTABLES -t mangle -A PREROUTING -i внутренний_сетевой_интерфейс -d 192.168.1.0/24 -j MARK --set-mark 100 $IPTABLES -t mangle -A PREROUTING -i внутренний_сетевой_интерфейс -d 192.168.2.0/24 -j MARK --set-mark 100 $IPTABLES -t mangle -A PREROUTING -i внутренний_сетевой_интерфейс -d адрес_самого_сервера -j MARK --set-mark 100 $IPTABLES -t nat -A PREROUTING -m mark --mark ! 100 -p tcp --dport 80 -j REDIRECT --to-ports 3128 или $IPTABLES -t nat -A PREROUTING -m mark --mark 100 -p tcp --dport 80 -j ACCEPT $IPTABLES -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 3128 естественно, еще: IPTABLES="/sbin/iptables" $IPTABLES -t nat -A OUTPUT -p tcp --dport 80 -j ACCEPT -- С уважением, Dank
В сообщении от 10 июля 2006 13:37 Anton Gorlov написал(a): > Шенцев Алексей Владимирович пишет: > > В сообщении от 10 июля 2006 13:13 Anton Gorlov написал(a): > >> # iptables -t NAT -A PREROUTING -d ! адрес_самого_сервера \ > >> -i внутренний_сетевой_интерфейс -p tcp -m tcp --dport 80 \ > >> -j REDIRECT --to-ports 3128 > > > > Не адрес самой подсетки ... :) И несколько правил для каждой подсетки. > > э.. не понял.. Что значит не адресс самой подсетки? Ты пишешь "-d ! адрес_самого_сервера", а надо "-d ! адрес_самой_подсети / маска_самой_подсети" ... :) > > и как должны правила выглядеть получается... > бо если я тут сделаю скажем -d ! 192.168.1.0/24 то для всех остальных > подсеток оно уже завернётся. iptables -t nat -A PREROUTIG -s ip_адрес_смотрящий_в_подсеть1 -i интерфейс_смотрящий_в_саму_подсеть -d ! адрес_самой_подсети / маска_самой_подсети -p m tcp --dport 80 -j REDIRECT --to-ports 3128 -- С уважением Шенцев Алексей Владимирович. E-mail: ashen@nsrz.ru ICQ: 271053845
Шенцев Алексей Владимирович пишет: > Ты пишешь "-d ! адрес_самого_сервера", а надо "-d ! адрес_самой_подсети / > маска_самой_подсети" ... :) А..так вы про это.. так это понятно..только у меня 4 отдельных подсети..между некоторыми роутинг настроен. >> и как должны правила выглядеть получается... >> бо если я тут сделаю скажем -d ! 192.168.1.0/24 то для всех остальных >> подсеток оно уже завернётся. > iptables -t nat -A PREROUTIG -s ip_адрес_смотрящий_в_подсеть1 -i > интерфейс_смотрящий_в_саму_подсеть -d ! адрес_самой_подсети / > маска_самой_подсети -p m tcp --dport 80 -j REDIRECT --to-ports 3128 Хм. Мне как раз надо чтоб я мог спокойно смотреть в подсеть1 с айпишником подсеть2. И так для всех 4 подсетей. Думаю сделать точто мне предложил Dank. Вроде похоже на правду - щас тестирую. -- np: Там - где
В сообщении от 10 июля 2006 14:15 Anton Gorlov написал(a):
> Хм. Мне как раз надо чтоб я мог спокойно смотреть в подсеть1 с
> айпишником подсеть2. И так для всех 4 подсетей. Думаю сделать точто мне
> предложил Dank. Вроде похоже на правду - щас тестирую.
А в таком порядке не пробывал?
iptables -t nat -A PREROUTIG -s ip_адрес_смотрящий_в_подсеть1 -i
интерфейс_смотрящий_в_саму_подсеть -p m tcp --dport 80 -d !
адрес_самой_подсети /маска_самой_подсети -j REDIRECT --to-ports 3128
--
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
ICQ: 271053845
Шенцев Алексей Владимирович пишет:
>> Хм. Мне как раз надо чтоб я мог спокойно смотреть в подсеть1 с
>> айпишником подсеть2. И так для всех 4 подсетей. Думаю сделать точто мне
>> предложил Dank. Вроде похоже на правду - щас тестирую.
> А в таком порядке не пробывал?
> iptables -t nat -A PREROUTIG -s ip_адрес_смотрящий_в_подсеть1 -i
> интерфейс_смотрящий_в_саму_подсеть -p m tcp --dport 80 -d !
> адрес_самой_подсети /маска_самой_подсети -j REDIRECT --to-ports 3128
Пробывал - оно завернуло трафф для остальных подсеток как раз на проксю.
так как -dисключает только 1 сеть в данном случае.
--
np: silence ( Winamp ушел в Партизаны ;-)
[-- Attachment #1: Type: text/plain, Size: 831 bytes --] On Thu, Aug 03, 2006 at 01:21:11PM +0300, Slava Dubrovskiy wrote: [...] > 1. Вопрос по vserver'ам. И не только по vserver'ам. Кстати говоря, думаю что вы сделали не самый лучший выбор, остановившись на linux-vserver. > Сколько и как лучше распределить их назначение в смысле безопасности, > производительности. Не жалейте контейнеров. Придерживайтесь принципа "одна задача - один контейнер". > Думаю так: > 1. На хосте будет стоять все что нужно для железа, для связи с инетом, и > т.д.: > sensors, pppoe, pptp-client, dhcpd, bind, sshd, nut, util-vserver > Пока думаю здесь разместить LDAP, и возможно MySQL. Или как? Или как. Всё, что может быть помещено в контейнер, лучше поместить в контейнер. На вскидку это dhcpd и bind. Избегайте размещения ldap/mysql-серверов в хост-системе. -- ldv [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
[-- Attachment #1: Type: text/plain, Size: 982 bytes --] Dmitry V. Levin пишет: >> 1. Вопрос по vserver'ам. >> > И не только по vserver'ам. Кстати говоря, думаю что вы сделали не самый > лучший выбор, остановившись на linux-vserver. > А что взамен предлагаете? Мне казалось это наиболее объезженный вариант. >> Сколько и как лучше распределить их назначение в смысле безопасности, >> производительности. >> > Не жалейте контейнеров. Придерживайтесь принципа > "одна задача - один контейнер". > Даже так... >> Думаю так: >> 1. На хосте будет стоять все что нужно для железа, для связи с инетом, и >> т.д.: >> sensors, pppoe, pptp-client, dhcpd, bind, sshd, nut, util-vserver >> Пока думаю здесь разместить LDAP, и возможно MySQL. Или как? >> > Или как. Всё, что может быть помещено в контейнер, лучше поместить в > контейнер. На вскидку это dhcpd и bind. Избегайте размещения > ldap/mysql-серверов в хост-системе. > Понял. Вынесу отдельно. -- С уважением, Дубровский Вячеслав. [-- Attachment #2: S/MIME Cryptographic Signature --] [-- Type: application/x-pkcs7-signature, Size: 3237 bytes --]
[-- Attachment #1: Type: text/plain, Size: 596 bytes --] On Thu, Aug 03, 2006 at 01:43:21PM +0300, Slava Dubrovskiy wrote: > Dmitry V. Levin пишет: > >> 1. Вопрос по vserver'ам. > >> > > И не только по vserver'ам. Кстати говоря, думаю что вы сделали не самый > > лучший выбор, остановившись на linux-vserver. > > > А что взамен предлагаете? openvz. > Мне казалось это наиболее объезженный вариант. Вы же не мигрируете на linux-vserver, а начинаете с самого начала. Поэтому надо выбирать с учётом перспективы. Если год назад, когда openvz ещё был не open, я бы выбрал linux-vserver, то сейчас я выбираю openvz. -- ldv [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
[-- Attachment #1: Type: text/plain, Size: 627 bytes --] Dmitry V. Levin пишет: >>> И не только по vserver'ам. Кстати говоря, думаю что вы сделали не самый >>> лучший выбор, остановившись на linux-vserver. >>> >> А что взамен предлагаете? >> > openvz. > Постараюсь прислушаться к вашему мнению. >> Мне казалось это наиболее объезженный вариант. >> > Вы же не мигрируете на linux-vserver, а начинаете с самого начала. > Поэтому надо выбирать с учётом перспективы. > Если год назад, когда openvz ещё был не open, я бы выбрал linux-vserver, > то сейчас я выбираю openvz. > Поможете с вопросами? ;-) -- С уважением, Дубровский Вячеслав. [-- Attachment #2: S/MIME Cryptographic Signature --] [-- Type: application/x-pkcs7-signature, Size: 3237 bytes --]
[-- Attachment #1: Type: text/plain, Size: 542 bytes --] On Thu, Aug 03, 2006 at 03:23:09PM +0300, Slava Dubrovskiy wrote: > Dmitry V. Levin пишет: [...] > > Вы же не мигрируете на linux-vserver, а начинаете с самого начала. > > Поэтому надо выбирать с учётом перспективы. > > Если год назад, когда openvz ещё был не open, я бы выбрал linux-vserver, > > то сейчас я выбираю openvz. > > > Поможете с вопросами? ;-) Только после того, как вы ознакомитесь с содержимым http://download.openvz.org/doc/OpenVZ-Users-Guide.pdf (про vzpkg/vzrpm/vzyum можно сперва пропустить) -- ldv [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
Dmitry V. Levin пишет:
>> Поможете с вопросами? ;-)
> Только после того, как вы ознакомитесь с содержимым
> http://download.openvz.org/doc/OpenVZ-Users-Guide.pdf
> (про vzpkg/vzrpm/vzyum можно сперва пропустить)
Хм.. а под не smp платформой его запустить реально?
--
np: Darkseed - In Broken Images
[-- Attachment #1: Type: text/plain, Size: 453 bytes --] On Thu, Aug 03, 2006 at 05:58:00PM +0400, Anton Gorlov wrote: > Dmitry V. Levin пишет: > > >> Поможете с вопросами? ;-) > > Только после того, как вы ознакомитесь с содержимым > > http://download.openvz.org/doc/OpenVZ-Users-Guide.pdf > > (про vzpkg/vzrpm/vzyum можно сперва пропустить) > Хм.. а под не smp платформой его запустить реально? У меня работает и так и так. Но -up ядро я не собирал, хотя это и не сложно сделать. -- ldv [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
[-- Attachment #1: Type: text/plain, Size: 524 bytes --] Anton Gorlov пишет: >>> Поможете с вопросами? ;-) >>> >> Только после того, как вы ознакомитесь с содержимым >> http://download.openvz.org/doc/OpenVZ-Users-Guide.pdf >> (про vzpkg/vzrpm/vzyum можно сперва пропустить) >> > Хм.. а под не smp платформой его запустить реально? > Наверно это рассчитано на сервер раз, во вторых уже почти все системы идут многопроцессорными (Pentium D например), в третьих мне кажется smp будет работать и на 1 процессоре. -- С уважением, Дубровский Вячеслав. [-- Attachment #2: S/MIME Cryptographic Signature --] [-- Type: application/x-pkcs7-signature, Size: 3237 bytes --]
Hi Dmitry!
Thursday 03, at 03:54:51 PM you wrote:
> > Мне казалось это наиболее объезженный вариант.
>
> Вы же не мигрируете на linux-vserver, а начинаете с самого начала.
> Поэтому надо выбирать с учётом перспективы.
> Если год назад, когда openvz ещё был не open, я бы выбрал linux-vserver,
> то сейчас я выбираю openvz.
более того, т.к. я тоже постепенно мигрирую на ovz, vs26 ядро рискует уйти
в orphaned :)
--
WBR et al.
[-- Attachment #1: Type: text/plain, Size: 409 bytes --] Konstantin A. Lepikhov пишет: >> Поэтому надо выбирать с учётом перспективы. >> Если год назад, когда openvz ещё был не open, я бы выбрал linux-vserver, >> то сейчас я выбираю openvz. >> > более того, т.к. я тоже постепенно мигрирую на ovz, vs26 ядро рискует уйти > в orphaned :) > "Палками в светлое будущее" (С) :-) . Спасибо что предупредили. -- С уважением, Дубровский Вячеслав. [-- Attachment #2: S/MIME Cryptographic Signature --] [-- Type: application/x-pkcs7-signature, Size: 3237 bytes --]
[-- Attachment #1: Type: text/plain, Size: 624 bytes --] Konstantin A. Lepikhov пишет: > Hi Dmitry! > > Thursday 03, at 03:54:51 PM you wrote: > > >>>Мне казалось это наиболее объезженный вариант. >> >>Вы же не мигрируете на linux-vserver, а начинаете с самого начала. >>Поэтому надо выбирать с учётом перспективы. >>Если год назад, когда openvz ещё был не open, я бы выбрал linux-vserver, >>то сейчас я выбираю openvz. > > более того, т.к. я тоже постепенно мигрирую на ovz, vs26 ядро рискует уйти > в orphaned :) Можно ссылок на информацию о работе с ovz (кроме <http://download.openvz.org/doc/OpenVZ-Users-Guide.pdf>)? -- С уважением. Алексей. [-- Attachment #2: OpenPGP digital signature --] [-- Type: application/pgp-signature, Size: 550 bytes --]
On Thu, 3 Aug 2006 19:10:08 +0400
Konstantin A. Lepikhov wrote:
> > Если год назад, когда openvz ещё был не open, я бы выбрал
> > linux-vserver, то сейчас я выбираю openvz.
> более того, т.к. я тоже постепенно мигрирую на ovz
Прежде, чем Дима дал ссылку, я успел немного почитать и понял,
что современный мощный компьютер только так и нужно
использовать, иначе он будет попросту лентяйничать. Идея не
новая, но главное в ней то, что теперь она open.
--
С уважением,
С.С.Скулаченко
Hi Slava!
Thursday 03, at 06:13:06 PM you wrote:
> Konstantin A. Lepikhov пишет:
> >> Поэтому надо выбирать с учётом перспективы.
> >> Если год назад, когда openvz ещё был не open, я бы выбрал linux-vserver,
> >> то сейчас я выбираю openvz.
> >>
> > более того, т.к. я тоже постепенно мигрирую на ovz, vs26 ядро рискует уйти
> > в orphaned :)
> >
> "Палками в светлое будущее" (С) :-) .
> Спасибо что предупредили.
Ну не палками, у нас есть еще кому заниматься vserver'ом.
--
WBR et al.
[-- Attachment #1: Type: text/plain, Size: 836 bytes --] On Thu, Aug 03, 2006 at 07:29:40PM +0400, Aleksey Avdeev wrote: > Konstantin A. Lepikhov пишет: > > Thursday 03, at 03:54:51 PM you wrote: > > > >>>Мне казалось это наиболее объезженный вариант. > >> > >>Вы же не мигрируете на linux-vserver, а начинаете с самого начала. > >>Поэтому надо выбирать с учётом перспективы. > >>Если год назад, когда openvz ещё был не open, я бы выбрал linux-vserver, > >>то сейчас я выбираю openvz. > > > > более того, т.к. я тоже постепенно мигрирую на ovz, vs26 ядро рискует уйти > > в orphaned :) > > Можно ссылок на информацию о работе с ovz (кроме > <http://download.openvz.org/doc/OpenVZ-Users-Guide.pdf>)? Вы так быстро прочли этот pdf? :) В пакетах vzquota и vzctl есть manpages, есть wiki.openvz.org, списки рассылки всякие. Что конкретно вас интересует? -- ldv [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
On Чтв, Авг 03 2006 at 15:54, Dmitry V. Levin wrote:
> openvz.
>
>> Мне казалось это наиболее объезженный вариант.
>
> Вы же не мигрируете на linux-vserver, а начинаете с самого начала.
> Поэтому надо выбирать с учётом перспективы.
А в чём вы видите перспективу: в самой технологии, в темпах развития,
в поддержке со стороны разработчиков и сообщества и т. д.?
--
~dd
Hi Dmitry!
Thursday 03, at 10:31:05 PM you wrote:
> On Чтв, Авг 03 2006 at 15:54, Dmitry V. Levin wrote:
>
> > openvz.
> >
> >> Мне казалось это наиболее объезженный вариант.
> >
> > Вы же не мигрируете на linux-vserver, а начинаете с самого начала.
> > Поэтому надо выбирать с учётом перспективы.
>
> А в чём вы видите перспективу: в самой технологии, в темпах развития,
> в поддержке со стороны разработчиков и сообщества и т. д.?
У vserver невменяемый upstream, и это многому препятствует, например,
написанию документации, changelog'ов и bug tracking'у. Как мантейнер
vserver в сизифе, могу сказать что для меня это серъезный минус
по-сравнению с ovz. + У ovz есть очень полезные и уникальные фишки,
например возможность изменять параметры для ubc на лету + возможность
"усыпления" и runtime миграции VPS'ов.
--
WBR et al.
[-- Attachment #1: Type: text/plain, Size: 1065 bytes --] Dmitry V. Levin пишет: > On Thu, Aug 03, 2006 at 07:29:40PM +0400, Aleksey Avdeev wrote: > >>Konstantin A. Lepikhov пишет: >> >>>Thursday 03, at 03:54:51 PM you wrote: >>> >>> >>>>>Мне казалось это наиболее объезженный вариант. >>>> >>>>Вы же не мигрируете на linux-vserver, а начинаете с самого начала. >>>>Поэтому надо выбирать с учётом перспективы. >>>>Если год назад, когда openvz ещё был не open, я бы выбрал linux-vserver, >>>>то сейчас я выбираю openvz. >>> >>>более того, т.к. я тоже постепенно мигрирую на ovz, vs26 ядро рискует уйти >>>в orphaned :) >> >> Можно ссылок на информацию о работе с ovz (кроме >><http://download.openvz.org/doc/OpenVZ-Users-Guide.pdf>)? > > > Вы так быстро прочли этот pdf? :) Нет. Только начал. :-) > > В пакетах vzquota и vzctl есть manpages, есть wiki.openvz.org, списки > рассылки всякие. Что конкретно вас интересует? На данный момент -- места для прицельного поиска информации по данной системе (окромя google). Конкретных вопросов пока нет. -- С уважением. Алексей. [-- Attachment #2: OpenPGP digital signature --] [-- Type: application/pgp-signature, Size: 550 bytes --]
[-- Attachment #1: Type: text/plain, Size: 963 bytes --] On Thu, Aug 03, 2006 at 10:31:05PM +0400, Dmitry Derjavin wrote: > On Чтв, Авг 03 2006 at 15:54, Dmitry V. Levin wrote: > > openvz. > > > >> Мне казалось это наиболее объезженный вариант. > > > > Вы же не мигрируете на linux-vserver, а начинаете с самого начала. > > Поэтому надо выбирать с учётом перспективы. > > А в чём вы видите перспективу: в самой технологии, в темпах развития, > в поддержке со стороны разработчиков и сообщества и т. д.? И в технологии (openvz сделан правильнее), и в темпах развития, и в поддержке со стороны разработчиков, которые существенно более вменяемые, и в инфраструктуре разработки, которая у openvz более удобная для разработчика и более естественная для разработки ядра (git). Если openvz и будет интегрирован в vanilla kernel, то это будет в основном благодаря работе openvz team. Я не вижу ни одного параметра, по которому у linux-vserver было бы преимущество, такое бывает не так часто. -- ldv [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
On Чтв, Авг 03 2006 at 23:50, Dmitry V. Levin wrote: >> А в чём вы видите перспективу: в самой технологии, в темпах развития, >> в поддержке со стороны разработчиков и сообщества и т. д.? > > И в технологии (openvz сделан правильнее), и в темпах развития, и в > поддержке со стороны разработчиков, которые существенно более > вменяемые, Кстати, о разработчиках, Alexey Kuznetsov -- это, случайно, не автор iproute2? http://forum.openvz.org/index.php?t=usrinfo&id=207 -- ~dd
[-- Attachment #1: Type: text/plain, Size: 822 bytes --] On Fri, Aug 04, 2006 at 12:26:44AM +0400, Dmitry Derjavin wrote: > On Чтв, Авг 03 2006 at 23:50, Dmitry V. Levin wrote: > > >> А в чём вы видите перспективу: в самой технологии, в темпах развития, > >> в поддержке со стороны разработчиков и сообщества и т. д.? > > > > И в технологии (openvz сделан правильнее), и в темпах развития, и в > > поддержке со стороны разработчиков, которые существенно более > > вменяемые, > > Кстати, о разработчиках, Alexey Kuznetsov -- это, случайно, не автор > iproute2? http://forum.openvz.org/index.php?t=usrinfo&id=207 Это автор iproute2, причём не случайно: $ fgrep -B3 -A1 'Alexey Kuznetsov' linux-2.6.17/MAINTAINERS NETWORKING [IPv4/IPv6] P: David S. Miller M: davem@davemloft.net P: Alexey Kuznetsov M: kuznet@ms2.inr.ac.ru -- ldv [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
[-- Attachment #1: Type: text/plain, Size: 621 bytes --] Dmitry V. Levin пишет: >> Поможете с вопросами? ;-) >> > Только после того, как вы ознакомитесь с содержимым > http://download.openvz.org/doc/OpenVZ-Users-Guide.pdf > (про vzpkg/vzrpm/vzyum можно сперва пропустить) > Прочитал с большим интересом. Спасибо. Сразу возникли вопросы. 1. Не могу найти в vzpkg в Сизифе. Как без него создать шаблон? И на http://openvz.org/download/template/repocache/ ALT нет :-( . 2. Если руководствоваться принципом одна задача - один контейнер, то существует ли механизм задания последовательности запуска контейнеров? -- С уважением, Дубровский Вячеслав. [-- Attachment #2: S/MIME Cryptographic Signature --] [-- Type: application/x-pkcs7-signature, Size: 3237 bytes --]
[-- Attachment #1: Type: text/plain, Size: 848 bytes --] Slava Dubrovskiy пишет: >> Только после того, как вы ознакомитесь с содержимым >> http://download.openvz.org/doc/OpenVZ-Users-Guide.pdf >> (про vzpkg/vzrpm/vzyum можно сперва пропустить) >> >> > Прочитал с большим интересом. Спасибо. > Сразу возникли вопросы. > > 1. Не могу найти в vzpkg в Сизифе. > Как без него создать шаблон? И на > http://openvz.org/download/template/repocache/ ALT нет :-( . > Как я понял, посмотрев пакет vzpkg он жестко требует yum, поддержка других дистрибутивов (deb-based, gentoo?) только в TODO. И еще не понятно с лицензией. В vzpkg-2.7.0-18.tar.bz2 есть какие-то бинарные файлы myinit*. Боязно. Вопрос: Как быть? Создавать вручную precreated template cache? Что для этого использовать? hasher? Или все-таки попытаться выкрутить с vzpkg? -- С уважением, Дубровский Вячеслав. [-- Attachment #2: S/MIME Cryptographic Signature --] [-- Type: application/x-pkcs7-signature, Size: 3237 bytes --]
Dmitry V. Levin пишет:
> Всё, что может быть помещено в контейнер, лучше поместить в
> контейнер. На вскидку это dhcpd и bind. Избегайте размещения
> ldap/mysql-серверов в хост-системе.
Скажите, а времена chroot уже прошли? Или еще есть смысл держать
некоторые сервисы в chroot?
--
С уважением, Прокопьев Евгений
[-- Attachment #1: Type: text/plain, Size: 432 bytes --] On Fri, Aug 04, 2006 at 01:22:14PM +0400, Eugene Prokopiev wrote: > Dmitry V. Levin пишет: > > Всё, что может быть помещено в контейнер, лучше поместить в > > контейнер. На вскидку это dhcpd и bind. Избегайте размещения > > ldap/mysql-серверов в хост-системе. > > Скажите, а времена chroot уже прошли? Или еще есть смысл держать > некоторые сервисы в chroot? Чем больше уровней безопасности, тем лучше. -- ldv [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
[-- Attachment #1: Type: text/plain, Size: 1214 bytes --] On Fri, Aug 04, 2006 at 11:03:57AM +0300, Slava Dubrovskiy wrote: > Slava Dubrovskiy пишет: > >> Только после того, как вы ознакомитесь с содержимым > >> http://download.openvz.org/doc/OpenVZ-Users-Guide.pdf > >> (про vzpkg/vzrpm/vzyum можно сперва пропустить) > >> > > Прочитал с большим интересом. Спасибо. > > Сразу возникли вопросы. > > > > 1. Не могу найти в vzpkg в Сизифе. > > Как без него создать шаблон? И на > > http://openvz.org/download/template/repocache/ ALT нет :-( . > > > Как я понял, посмотрев пакет vzpkg он жестко требует yum, поддержка > других дистрибутивов (deb-based, gentoo?) только в TODO. Нас в данном аспекте может интересовать vzapt. > И еще не понятно с лицензией. В vzpkg-2.7.0-18.tar.bz2 есть какие-то > бинарные файлы myinit*. Боязно. Я пока не смотрел vzpkg. > Вопрос: Как быть? Создавать вручную precreated template cache? > Что для этого использовать? hasher? Я использую hasher, что-нибудь типа $ hsh --save ~/build --initroot --pkg-build=, $ hsh-install --save ~/build basesystem apt etcnet glibc less openssh-server sysklogd Lakostis использует spt. > Или все-таки попытаться выкрутить с vzpkg? Я не пробовал. -- ldv [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
[-- Attachment #1: Type: text/plain, Size: 482 bytes --] Dmitry V. Levin пишет: >> Вопрос: Как быть? Создавать вручную precreated template cache? >> Что для этого использовать? hasher? >> > Я использую hasher, что-нибудь типа > $ hsh --save ~/build --initroot --pkg-build=, > $ hsh-install --save ~/build basesystem apt etcnet glibc less openssh-server sysklogd > > Lakostis использует spt. > Я уже догадался сам. Спаибо. Надо на wiki все мои изыскания забросить не забыть. -- С уважением, Дубровский Вячеслав. [-- Attachment #2: S/MIME Cryptographic Signature --] [-- Type: application/x-pkcs7-signature, Size: 3237 bytes --]
[-- Attachment #1: Type: text/plain, Size: 392 bytes --] Dmitry V. Levin пишет: > Я использую hasher, что-нибудь типа > $ hsh --save ~/build --initroot --pkg-build=, > $ hsh-install --save ~/build basesystem apt etcnet glibc less openssh-server sysklogd > > Сделал так. Но владелец файлов в build/chroot получается пользователь А. Как запаковать этот chroot в tgz чтобы права были правильные? -- С уважением, Дубровский Вячеслав. [-- Attachment #2: S/MIME Cryptographic Signature --] [-- Type: application/x-pkcs7-signature, Size: 3237 bytes --]
[-- Attachment #1: Type: text/plain, Size: 268 bytes --] В сообщении от 4 августа 2006 11:03 Slava Dubrovskiy написал(a): > Как я понял, посмотрев пакет vzpkg он жестко требует yum, поддержка > других дистрибутивов (deb-based, gentoo?) только в TODO. Ему старый yum подойдёт? Могу кинуть в Дедал. -- Pain - It's Only Them [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
[-- Attachment #1: Type: text/plain, Size: 383 bytes --] Igor Zubkov пишет: >> Как я понял, посмотрев пакет vzpkg он жестко требует yum, поддержка >> других дистрибутивов (deb-based, gentoo?) только в TODO. >> > Ему старый yum подойдёт? Могу кинуть в Дедал. > Да не надо. Работает и без него это раз, во вторых там что-то бинарное в исходниках и я все равно его ставить не буду. -- С уважением, Дубровский Вячеслав. [-- Attachment #2: S/MIME Cryptographic Signature --] [-- Type: application/x-pkcs7-signature, Size: 3237 bytes --]
Dmitry V. Levin пишет:
> On Fri, Aug 04, 2006 at 01:22:14PM +0400, Eugene Prokopiev wrote:
>
>>Dmitry V. Levin пишет:
>>
>>>Всё, что может быть помещено в контейнер, лучше поместить в
>>>контейнер. На вскидку это dhcpd и bind. Избегайте размещения
>>>ldap/mysql-серверов в хост-системе.
>>
>>Скажите, а времена chroot уже прошли? Или еще есть смысл держать
>>некоторые сервисы в chroot?
>
>
> Чем больше уровней безопасности, тем лучше.
Дело в том, что нахождение некоторых приложений в чруте связано с
определенными проблемами. Например, у нас есть PL/Python и PL/Perl для
PostgreSQL, которые нет особого смысла использовать тем, кто не
нуждается в куче модулей последних, а эти модули в чруте как раз
отсутствуют.
Есть, конечно, механизм вроде /etc/chroot.d/postgresql.lib, но слишком
уж много надо переносить в общем случае. Не проще ли вытащить PostgreSQL
наружу, раз уж его местонахождение в чруте стало менее осмысленным?
--
С уважением, Прокопьев Евгений
On Sat, Aug 05, 2006 at 12:12:14PM +0400, Eugene Prokopiev wrote: > Есть, конечно, механизм вроде /etc/chroot.d/postgresql.lib, но > слишком уж много надо переносить в общем случае. Не проще ли > вытащить PostgreSQL наружу, раз уж его местонахождение в чруте > стало менее осмысленным? Скорее бы тогда рубильник... -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/
Hi Slava!
Friday 04, at 02:34:22 PM you wrote:
> Dmitry V. Levin пишет:
> > Я использую hasher, что-нибудь типа
> > $ hsh --save ~/build --initroot --pkg-build=,
> > $ hsh-install --save ~/build basesystem apt etcnet glibc less openssh-server sysklogd
> >
> >
> Сделал так. Но владелец файлов в build/chroot получается пользователь А.
> Как запаковать этот chroot в tgz чтобы права были правильные?
используйте spt --image-type=tgz/tbz2 --skip-iso и шаблон ovz. spt умеет
пользоваться fakeroot для сохранения прав на каталоги.
--
WBR et al.
Michael Shigorin пишет:
> On Sat, Aug 05, 2006 at 12:12:14PM +0400, Eugene Prokopiev wrote:
>
>>Есть, конечно, механизм вроде /etc/chroot.d/postgresql.lib, но
>>слишком уж много надо переносить в общем случае. Не проще ли
>>вытащить PostgreSQL наружу, раз уж его местонахождение в чруте
>>стало менее осмысленным?
>
>
> Скорее бы тогда рубильник...
Миш, иногда ты говоришь загадками ;) Что ты имел ввиду?
--
С уважением, Прокопьев Евгений
On Sun, Aug 06, 2006 at 05:58:18PM +0400, Eugene Prokopiev wrote: > >>Есть, конечно, механизм вроде /etc/chroot.d/postgresql.lib, > >>но слишком уж много надо переносить в общем случае. Не проще > >>ли вытащить PostgreSQL наружу, раз уж его местонахождение в > >>чруте стало менее осмысленным? > >Скорее бы тогда рубильник... > Миш, иногда ты говоришь загадками ;) Что ты имел ввиду? засунуть_в_чрут postgres вытащить_из_чрута postgres Нет, я не знаю, насколько это технически реализуемо... -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/
On Sun, 06 Aug 2006 17:58:18 +0400
Eugene Prokopiev wrote:
> > Скорее бы тогда рубильник...
>
> Миш, иногда ты говоришь загадками ;) Что ты имел ввиду?
Ровным счётом, _ничего_! Давно бы надо понять, что толкование
этих мыслеобразов находится в перпендикулярной плоскости к
Линуксу, и требует специальных знаний. Либо простое и
эффективное средство - фильтр.
--
С уважением,
С.С.Скулаченко
On Sun, 6 Aug 2006 17:22:10 +0300
Michael Shigorin wrote:
> .....
> засунуть_в_чрут postgres
> вытащить_из_чрута postgres
>
> Нет, я не знаю, насколько это технически реализуемо...
Вполне реализуемо. Для вытаскивания PostgreSQL из chroot достаточно
закомментировать определение переменной PG_CHROOT_DIR
в /etc/init.d/postgresql (22я строка для 8.1.4-alt1) и удалить
все /tmp/.s.PGSQL.* .
В обратную сторону - раскомментировать эту переменную.
--
С уважением,
Николай Фетисов
On Sun, Aug 06, 2006 at 07:57:23PM +0400, Nikolay A. Fetisov wrote: > > засунуть_в_чрут postgres > > вытащить_из_чрута postgres > > Нет, я не знаю, насколько это технически реализуемо... > Вполне реализуемо. Для вытаскивания PostgreSQL из chroot > достаточно закомментировать определение переменной > PG_CHROOT_DIR в /etc/init.d/postgresql (22я строка для > 8.1.4-alt1) и удалить все /tmp/.s.PGSQL.* . > В обратную сторону - раскомментировать эту переменную. Мож нарисуете да хоть control тогда? -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/
Sergey S. Skulachenko пишет:
> On Sun, 06 Aug 2006 17:58:18 +0400
> Eugene Prokopiev wrote:
>
>
>>>Скорее бы тогда рубильник...
>>
>>Миш, иногда ты говоришь загадками ;) Что ты имел ввиду?
>
>
> Ровным счётом, _ничего_! Давно бы надо понять, что толкование
> этих мыслеобразов находится в перпендикулярной плоскости к
> Линуксу, и требует специальных знаний. Либо простое и
> эффективное средство - фильтр.
Сергей, возможно вы удивитесь, но в вашем сообщении полезной для меня
информации все-таки меньше, чем в сообщении Миши ;)
--
С уважением, Прокопьев Евгений
[-- Attachment #1: Type: text/plain, Size: 728 bytes --] On Fri, Aug 04, 2006 at 02:34:22PM +0300, Slava Dubrovskiy wrote: > Dmitry V. Levin пишет: > > Я использую hasher, что-нибудь типа > > $ hsh --save ~/build --initroot --pkg-build=, > > $ hsh-install --save ~/build basesystem apt etcnet glibc less openssh-server sysklogd > > > > > Сделал так. Но владелец файлов в build/chroot получается пользователь А. > Как запаковать этот chroot в tgz чтобы права были правильные? $ cat tarify.sh #!/bin/sh -e cd / tar --create --file=- --numeric-owner --one-file-system --sparse -- * $ hsh-run --save --root --execute tarify.sh ~/build >altlinux-minimal.tar Правда в этом altlinux-minimal.tar не будет /dev/tty и /dev/ptmx, но это можно потом добавить. -- ldv [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
[-- Attachment #1: Type: text/plain, Size: 1270 bytes --] On Sat, Aug 05, 2006 at 12:12:14PM +0400, Eugene Prokopiev wrote: > Dmitry V. Levin пишет: > > On Fri, Aug 04, 2006 at 01:22:14PM +0400, Eugene Prokopiev wrote: > >>Dmitry V. Levin пишет: > >> > >>>Всё, что может быть помещено в контейнер, лучше поместить в > >>>контейнер. На вскидку это dhcpd и bind. Избегайте размещения > >>>ldap/mysql-серверов в хост-системе. > >> > >>Скажите, а времена chroot уже прошли? Или еще есть смысл держать > >>некоторые сервисы в chroot? > > > > Чем больше уровней безопасности, тем лучше. > > Дело в том, что нахождение некоторых приложений в чруте связано с > определенными проблемами. Например, у нас есть PL/Python и PL/Perl для > PostgreSQL, которые нет особого смысла использовать тем, кто не > нуждается в куче модулей последних, а эти модули в чруте как раз > отсутствуют. Не все службы завязаны на остальные части системы так сильно как это может быть с postgresql. > Есть, конечно, механизм вроде /etc/chroot.d/postgresql.lib, но слишком > уж много надо переносить в общем случае. Не проще ли вытащить PostgreSQL > наружу, раз уж его местонахождение в чруте стало менее осмысленным? Тут предлагают сделать это конфигурируемым посредством control. Звучит вполне логично. -- ldv [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
On Mon, 07 Aug 2006 09:29:31 +0400 Eugene Prokopiev wrote: > >>>Скорее бы тогда рубильник... > >> > >>Миш, иногда ты говоришь загадками ;) Что ты имел ввиду? > Сергей, возможно вы удивитесь, но в вашем сообщении полезной > для меня информации все-таки меньше, чем в сообщении Миши ;) Тогда нужен рубильник... -- С уважением, С.С.Скулаченко
MSSQL + java + tomcat. В системных требованиях написано: 2xIntel Xeon 2800/2Gb/2x100Gb SCSI. Какое лучше железо использовать, желательно совместимое с Linux? Xeon это 32 разряда? Какой лучше выбрать процессор? -- С уважением, Дворников Михаил.
[-- Attachment #1: Type: text/plain, Size: 164 bytes --] В сообщении от 15 августа 2006 14:54 Дворников М.В. написал(a): > MSSQL + java + tomcat. m$ sql? а вы рассылкой не промахнулись? ;) -- Slipknot - Wait And Bleed [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
hi all Скажу сразу, я не спец по безопасности... компьютер большую часть времени подключен к интернет. на нём крутятся vsftpd,apache,postfix,popa3d. Я верно понимаю, что чтоб обезопасить себя снаружи я имею 2 пути 1. запретить iptables INPUT на необходимые порты 2. просто настроить сервисы на слушание определённых интерфейсов (чтоб не слушали интернет_нитерфейс). Что предпочтительнее? Я так понимаю, во втором случае от iptables вообще можно отказаться? Или даже если на внешнем интерфейсе никаких сервисов не висит, всё равно стоит что-то подкручивать с iptables - но тогда что именно? Что есть толкового почитать на это тему, чтоб кратко и по теме? PS вопрос возник после того, как только что подняв машину завёл пользователя admin c паролем admin (думал когда закончу работу поменяю) поставил ssh и... пошёл на 10 мин в туалет. Когда вернулся дело было уже сделано - уже кто-то приконектился и начал что-то на мою машину заливать. Удивительно даже - маньяки какие-то... Я ж не супер-мега сервер какой-то, а рядовой adsl-щик. -- Artem Zolochevskiy
Система - последний сизиф в messages постоянно лезет это: Aug 28 09:30:43 www winbindd[6230]: [2006/08/28 09:30:43, 0] lib/util_sock.c:write_data(564) Aug 28 09:30:43 www winbindd[6230]: write_data: write failure. Error = Connection reset by peer Aug 28 09:30:43 www winbindd[6230]: [2006/08/28 09:30:43, 0] libsmb/clientgen.c:write_socket(138) Aug 28 09:30:43 www winbindd[6230]: write_socket: Error writing 166 bytes to socket 16: ERRNO = Connection reset by peer Aug 28 09:30:43 www winbindd[6230]: [2006/08/28 09:30:43, 0] libsmb/clientgen.c:cli_send_smb(168) Aug 28 09:30:43 www winbindd[6230]: Error writing 166 bytes to client. -1 (Connection reset by peer) Aug 28 09:30:43 www winbindd[6230]: [2006/08/28 09:30:43, 0] rpc_client/cli_pipe.c:rpc_api_pipe(790) Aug 28 09:30:43 www winbindd[6230]: rpc_api_pipe: Remote machine SERVER pipe \lsarpc fnum 0x4003returned critical error. Error was Write error: Connection reset by peer и это: Aug 28 03:10:51 www smbd[6283]: [2006/08/28 03:10:51, 0] lib/util_sock.c:get_peer_addr(1229) Aug 28 03:10:52 www smbd[6283]: getpeername failed. Error was Transport endpoint is not connected Aug 28 03:10:52 www smbd[18155]: [2006/08/28 03:10:51, 0] lib/util_sock.c:get_peer_addr(1229) Aug 28 03:10:52 www smbd[18155]: getpeername failed. Error was Transport endpoint is not connected Aug 28 03:10:52 www smbd[18155]: [2006/08/28 03:10:52, 0] lib/util_sock.c:get_peer_addr(1229) Aug 28 03:10:52 www smbd[18155]: getpeername failed. Error was Transport endpoint is not connected Aug 28 03:10:53 www smbd[18155]: [2006/08/28 03:10:52, 0] lib/access.c:check_access(328) Aug 28 03:10:53 www smbd[18155]: [2006/08/28 03:10:52, 0] lib/util_sock.c:get_peer_addr(1229) Aug 28 03:10:53 www smbd[18155]: getpeername failed. Error was Transport endpoint is not connected Aug 28 03:10:53 www smbd[18155]: Denied connection from (0.0.0.0) Aug 28 03:10:53 www smbd[18155]: [2006/08/28 03:10:52, 0] lib/util_sock.c:get_peer_addr(1229) Aug 28 03:10:53 www smbd[18155]: getpeername failed. Error was Transport endpoint is not connected Aug 28 03:10:53 www smbd[18155]: Connection denied from 0.0.0.0 Aug 28 03:10:53 www smbd[18155]: [2006/08/28 03:10:52, 0] lib/util_sock.c:write_data(562) Aug 28 03:10:53 www smbd[18155]: write_data: write failure in writing to client 0.0.0.0. Error Connection reset by peer Aug 28 03:10:53 www smbd[18155]: [2006/08/28 03:10:52, 0] lib/util_sock.c:send_smb(769) Aug 28 03:10:53 www smbd[18155]: Error writing 5 bytes to client. -1. (Connection reset by peer) Как бороться? -- С уважением, Алексей Сидоров mailto:alex@reutman.ru JIT:alexsid@jabber.ru
On Sun, 27 Aug 2006 17:36:22 +0300 Artem Zolochevskiy wrote: > Скажу сразу, я не спец по безопасности... Ну, особым спецом, в вашем случае, быть и не нужно, но кое-что нужно понимать... Для начала, в консоли от root # netstat -nap И посмотрите, какие порты открыты, особенно, на адресе 0.0.0.0 Проверить, нужны ли вам эти сервисы... > 1. запретить iptables INPUT на необходимые порты Более правильно, запретить все, а потом открыть только то, что действительно нужно. > 2. просто настроить сервисы на слушание определённых > интерфейсов (чтоб не слушали интернет_нитерфейс). И это правильно... > > Что предпочтительнее? Лучше всего комбинировать оба варианта. > Я так понимаю, во втором случае от iptables вообще можно > отказаться? Или даже если на внешнем интерфейсе никаких > сервисов не висит, всё равно стоит что-то подкручивать с > iptables - но тогда что именно? Что есть толкового почитать на > это тему, чтоб кратко и по теме? В Инете примеров и рекомендаций много... > > PS > вопрос возник после того, как только что подняв машину завёл > пользователя admin c паролем admin (думал когда закончу работу > поменяю) поставил ssh и... Будет правильным в конфиге sshd прописать пользователей, которым явно разрешено пользовать ssh ... # cat /etc/openssh/sshd_config ... AllowUsers yourname AllowGroups wheel DenyUsers bin nobody sys DenyGroups users > Я ж не супер-мега сервер какой-то, а > рядовой adsl-щик. Интересно было бы узнать, что именно и куда заливали... Скорее всего, ваш сервер пытались поиметь на предмет рассылать с него спам ... В любом случае, защита сервера или рабочей станции, смотрящей в Инет, вопрос комплексный ... Пишите конкретные вопросы, не оставим без подсказки ... -- Best regards, Dmitriy L. Kruglikov .--. Dmitriy.Kruglikov_at_orionagro.com.ua |@_@ | DKR6-RIPE |!_/ | ICQ# 13047326 // \ \ XMPP:dkr6@jabber.ru (| | ) /'\_ _/`\ Powered by Linux \___)=(___/ -- Мысль -- СОВЕТ НАЧИНАЮЩЕМУ ПРОГРАММИСТУ Никогда не исправляйте найденные ошибки, ибо это повлечет за собой появление неизвестного числа ненайденных. Лучше опишите их в сопроводительной документации как особенность программы.
[-- Attachment #1: Type: text/plain, Size: 2888 bytes --] Alexey Sidorov пишет: > Система - последний сизиф > в messages постоянно лезет это: > > Aug 28 09:30:43 www winbindd[6230]: [2006/08/28 09:30:43, 0] lib/util_sock.c:write_data(564) > Aug 28 09:30:43 www winbindd[6230]: write_data: write failure. Error = Connection reset by peer > Aug 28 09:30:43 www winbindd[6230]: [2006/08/28 09:30:43, 0] libsmb/clientgen.c:write_socket(138) > Aug 28 09:30:43 www winbindd[6230]: write_socket: Error writing 166 bytes to socket 16: ERRNO = Connection reset by peer > Aug 28 09:30:43 www winbindd[6230]: [2006/08/28 09:30:43, 0] libsmb/clientgen.c:cli_send_smb(168) > Aug 28 09:30:43 www winbindd[6230]: Error writing 166 bytes to client. -1 (Connection reset by peer) > Aug 28 09:30:43 www winbindd[6230]: [2006/08/28 09:30:43, 0] rpc_client/cli_pipe.c:rpc_api_pipe(790) > Aug 28 09:30:43 www winbindd[6230]: rpc_api_pipe: Remote machine SERVER pipe \lsarpc fnum 0x4003returned critical error. Error was Write error: Connection reset by peer > > и это: > > Aug 28 03:10:51 www smbd[6283]: [2006/08/28 03:10:51, 0] lib/util_sock.c:get_peer_addr(1229) > Aug 28 03:10:52 www smbd[6283]: getpeername failed. Error was Transport endpoint is not connected > Aug 28 03:10:52 www smbd[18155]: [2006/08/28 03:10:51, 0] lib/util_sock.c:get_peer_addr(1229) > Aug 28 03:10:52 www smbd[18155]: getpeername failed. Error was Transport endpoint is not connected > Aug 28 03:10:52 www smbd[18155]: [2006/08/28 03:10:52, 0] lib/util_sock.c:get_peer_addr(1229) > Aug 28 03:10:52 www smbd[18155]: getpeername failed. Error was Transport endpoint is not connected > Aug 28 03:10:53 www smbd[18155]: [2006/08/28 03:10:52, 0] lib/access.c:check_access(328) > Aug 28 03:10:53 www smbd[18155]: [2006/08/28 03:10:52, 0] lib/util_sock.c:get_peer_addr(1229) > Aug 28 03:10:53 www smbd[18155]: getpeername failed. Error was Transport endpoint is not connected > Aug 28 03:10:53 www smbd[18155]: Denied connection from (0.0.0.0) > Aug 28 03:10:53 www smbd[18155]: [2006/08/28 03:10:52, 0] lib/util_sock.c:get_peer_addr(1229) > Aug 28 03:10:53 www smbd[18155]: getpeername failed. Error was Transport endpoint is not connected > Aug 28 03:10:53 www smbd[18155]: Connection denied from 0.0.0.0 > Aug 28 03:10:53 www smbd[18155]: [2006/08/28 03:10:52, 0] lib/util_sock.c:write_data(562) > Aug 28 03:10:53 www smbd[18155]: write_data: write failure in writing to client 0.0.0.0. Error Connection reset by peer > Aug 28 03:10:53 www smbd[18155]: [2006/08/28 03:10:52, 0] lib/util_sock.c:send_smb(769) > Aug 28 03:10:53 www smbd[18155]: Error writing 5 bytes to client. -1. (Connection reset by peer) > > Как бороться? > Так проблема только в наличии сообщений в логе или еще что-то? У меня это уже года 2 как в лог пишет. И ничего. Вроде работает. -- С уважением, Дубровский Вячеслав. [-- Attachment #2: S/MIME Cryptographic Signature --] [-- Type: application/x-pkcs7-signature, Size: 3237 bytes --]
On Sun, 27 Aug 2006 17:36:22 +0300 Artem Zolochevskiy wrote: > hi all > > Скажу сразу, я не спец по безопасности... Вот, по быстрому, набросал для вас заметочку... http://www.freesource.info/wiki/ALTLinux/Dokumentacija/Bezopasnost Писал наспех, особо не ругайте ... Дополнения приветствуются :) -- Best regards, Dmitriy L. Kruglikov .--. Dmitriy.Kruglikov_at_orionagro.com.ua |@_@ | DKR6-RIPE |!_/ | ICQ# 13047326 // \ \ XMPP:dkr6@jabber.ru (| | ) /'\_ _/`\ Powered by Linux \___)=(___/ -- Мысль -- Не тот писатель оригинален, которому никто не подражает, а тот, кому никто не в силах подражать. -- М.Шатобриан
Slava Dubrovskiy пишет:
> Так проблема только в наличии сообщений в логе или еще что-то?
> У меня это уже года 2 как в лог пишет. И ничего. Вроде работает.
>
Да вроде-бы тоже работает.
но мессаги эти надоедают.
--
С уважением, Алексей Сидоров
mailto:alex@reutman.ru
JIT:alexsid@jabber.ru
Я обычно настраиваю фаервол не для того, чтобы закрывать ныне существующие сервисы, а для того, чтобы предотвратить коннект к вновь появляющимся :) Хорошо настроенный фаервол позволит защититься от троянов, хотя бы наиболее простых. Также со временем можете забыть о новых сервисах или поднять их в "тестовом" режиме. Так что лучше всего настраивать фаервол и настраивать не просто закрывая что-то, а закрывая все и открывая только то, что нужно. --- With Best Regards, RHCE, Avramenko Andrew R-Style. Technical support.
On Mon, 28 Aug 2006 11:48:04 +0400 Avramenko Andrew wrote:
> Также со временем можете забыть о новых сервисах или поднять
> их в "тестовом" режиме.
Вот эту фразу поподробнее, если можно ...
В случае установки нового сервиса, вы точно так же разрешите его
в iptables ...
Какие проблемы?
Ну а при разрешенном 127.0.0.1 у вас все заработает и так .... :)
Запрещены же только входящие на внешних интерфейсах ....
Ну и последнее, приведенные рекомендации не догма ...
А вот понимание смысла действий, обязательное условие ...
Не зависимо от того, чьей кожей обтянут ваш бубен ...
--
Best regards,
Dmitriy L. Kruglikov .--.
Dmitriy.Kruglikov_at_orionagro.com.ua |@_@ |
DKR6-RIPE |!_/ |
ICQ# 13047326 // \ \
XMPP:dkr6@jabber.ru (| | )
/'\_ _/`\
Powered by Linux \___)=(___/
-- Мысль --
Диктатура лени и бессовестности - самая долгоживущая и опасная
из всех гибельно- разрушительных диктатур, бушевавших в России.
-- З.Фаткудинов
Artem Zolochevskiy пишет: > компьютер большую часть времени подключен к интернет. на нём крутятся > vsftpd,apache,postfix,popa3d. Я верно понимаю, что чтоб обезопасить себя > снаружи я имею 2 пути > 1. запретить iptables INPUT на необходимые порты Правильнее будет разрешить то, что нужно, а по-умолчанию сделать DROP > 2. просто настроить сервисы на слушание определённых интерфейсов (чтоб не > слушали интернет_нитерфейс). Там, где сервисы это умеют - обязательно ограничить их настройками. > > Что предпочтительнее? Оба метода только дополняют друг-друга, а не заменяют. > Я так понимаю, во втором случае от iptables вообще можно отказаться? А вот этого делать крайне не рекомендуется. Лучше изучите возможности iptables, и тогда подобные мысли у Вас уже возникать не будут. > Что есть толкового почитать на это тему, чтоб кратко и по теме? http://gazette.linux.ru.net/rus/articles/index-iptables-tutorial.html > > вопрос возник после того, как только что подняв машину завёл пользователя > admin c паролем admin (думал когда закончу работу поменяю) поставил ssh А вот так никогда больше не делайте. Ну, Вы сами теперь знаете :) -- WBR, Sergei Boudnik http://www.boudnik.kiev.ua -------------------------- Tel: +38050 3584082 ICQ UIN: 56809672 SSB-RIPE SSB1-UANIC ==========================> hi all > > Скажу сразу, я не спец по безопасности... > Trap for spam & virii: trap@wildlist.org.ua
28 августа 2006 12:18, Sergei Boudnik написал:
> Правильнее будет разрешить то, что нужно, а по-умолчанию сделать DROP
Я бы не сказал, что DROP - это правильно. Ибо это, во-первых, позволяет при
сканировании определить использующиеся порты, а во-вторых, при работе через
спутник может дать кое-кому хороший шанс...
use REJECT reject-with tcp-reset
--
ABATAPA
<цитата от="Dmitriy L. Kruglikov">
<skip>
> Будет правильным в конфиге sshd прописать пользователей, которым
> явно разрешено пользовать ssh ...
> # cat /etc/openssh/sshd_config
> ...
> AllowUsers yourname
> AllowGroups wheel
> DenyUsers bin nobody sys
> DenyGroups users
проще запретить авторизацию по паролью и настроить hosts.*, чем заниматься
такими извращениями. just my $0.02
--
WBR et al.
ABATAPA пишет: > 28 августа 2006 12:18, Sergei Boudnik написал: > >>Правильнее будет разрешить то, что нужно, а по-умолчанию сделать DROP > > Я бы не сказал, что DROP - это правильно. Ибо это, во-первых, позволяет при > сканировании определить использующиеся порты, а во-вторых, при работе через > спутник может дать кое-кому хороший шанс... > use REJECT reject-with tcp-reset > ICMP пакеты - хорошее средство для DDoS-атак, да и попадание на трафике может получиться не малое. Поэтому политика (-P) REJECT в iptables не предусмотрена. -- WBR, Sergei Boudnik http://www.boudnik.kiev.ua -------------------------- Tel: +38050 3584082 ICQ UIN: 56809672 SSB-RIPE SSB1-UANIC ========================== Trap for spam & virii: trap@wildlist.org.ua
28 августа 2006 13:42, Sergei Boudnik написал: > да и попадание на трафике может получиться не малое. Рассказать, как при DROP и при наличии "добрых" людей может быть "попадание" на трафике, идущем со спутника? > Поэтому политика (-P) REJECT в iptables не предусмотрена. А и не нужно. Для открытых TCP можно прописАть и так, а для закрытых - icmp reject пойдет и так. А тех админов и сети, которые полностью закрывают у себя icmp, нужно, как минимум, переучивать, а максимум - ... -- ABATAPA
ABATAPA пишет: > 28 августа 2006 13:42, Sergei Boudnik написал: > >>да и попадание на трафике может получиться не малое. > > Рассказать, как при DROP и при наличии "добрых" людей может быть "попадание" > на трафике, идущем со спутника? > Тут уж палка о двух концах - и бороться с этим надежнее будет "руками". > >>Поэтому политика (-P) REJECT в iptables не предусмотрена. > > А и не нужно. Для открытых TCP можно прописАть и так, а для закрытых - icmp > reject пойдет и так. А тех админов и сети, которые полностью закрывают у себя > icmp, нужно, как минимум, переучивать, а максимум - ... К сожалению, эти болезни не всегда лечатся ;) -- WBR, Sergei Boudnik http://www.boudnik.kiev.ua -------------------------- Tel: +38050 3584082 ICQ UIN: 56809672 SSB-RIPE SSB1-UANIC ========================== Trap for spam & virii: trap@wildlist.org.ua
On Mon, 28 Aug 2006 13:56:51 +0400 ABATAPA wrote:
> > да и попадание на трафике может получиться не малое.
> Рассказать, как при DROP и при наличии "добрых" людей может
> быть "попадание" на трафике, идущем со спутника?
Лучше на wiki поправить ... Привести более правильные
настройки... Всем будет полезно ...
--
Best regards,
Dmitriy L. Kruglikov .--.
Dmitriy.Kruglikov_at_orionagro.com.ua |@_@ |
DKR6-RIPE |!_/ |
ICQ# 13047326 // \ \
XMPP:dkr6@jabber.ru (| | )
/'\_ _/`\
Powered by Linux \___)=(___/
-- Мысль --
Искренность в политике... есть вполне доступное проверке
соответствие между словом и делом.
-- В.И.Ленин
28 августа 2006 14:11, Sergei Boudnik написал:
> К сожалению, эти болезни не всегда лечатся ;)
Вот-вот... Потому и имеем часто массу проблем. Из-за параноиков.
--
ABATAPA
ABATAPA wrote:
>>да и попадание на трафике может получиться не малое.
> Рассказать, как при DROP и при наличии "добрых" людей может быть "попадание"
> на трафике, идущем со спутника?
Расскажите. Я, в общих чертах, представляю, как это, и не только со
спутника, но послушать детальное объяснение как минимум интересно.
28 августа 2006 19:59, Olvin написал:
> Расскажите. Я, в общих чертах, представляю, как это, и не только со
> спутника, но послушать детальное объяснение как минимум интересно.
В общих чертах - ставится тарелка, ищется провайдер, по умыслу или незнанию
выпускающий наружу "чужой" трафик, ищется клиент спутниковый, в адресном
пространстве которого есть адреса, где пакеты "теряются", и...
Выставляем у себя "чужой" адрес, "выпускаем" наружу пакет через наземного
провайдера, и возвращается он двоим - законному владельцу, и "еще одному".
Только у законного он делает DROP (и обратно ничего не уходит), а у "еще
одного" он используется по назначению.
Таким образом можно иметь "халявный" спутник. И, что характерно, - с _чужих_
адресов.
--
ABATAPA
ABATAPA пишет: > 28 августа 2006 19:59, Olvin написал: > >>Расскажите. Я, в общих чертах, представляю, как это, и не только со >>спутника, но послушать детальное объяснение как минимум интересно. > > В общих чертах - ставится тарелка, ищется провайдер, по умыслу или незнанию > выпускающий наружу "чужой" трафик, ищется клиент спутниковый, в адресном > пространстве которого есть адреса, где пакеты "теряются", и... > Выставляем у себя "чужой" адрес, "выпускаем" наружу пакет через наземного > провайдера, и возвращается он двоим - законному владельцу, и "еще одному". > Только у законного он делает DROP (и обратно ничего не уходит), а у "еще > одного" он используется по назначению. > Таким образом можно иметь "халявный" спутник. И, что характерно, - с _чужих_ > адресов. ну это ты совсем криминальную схему нарисовал... это не является проблемой. Хуже другое: спутниковая связь является настолько медленной, что может не выдерживать тайм-аутов по запросам на соединение. Из этого может быть такой интересный выход, как проксирование всех соединений. И оно будет заливать всю DATA, если ему не рубанешь соединение с самого начала. А в первом случае все решается подключением к провайдеру через VPN. -- WBR, Sergei Boudnik http://www.boudnik.kiev.ua -------------------------- Tel: +38050 3584082 ICQ UIN: 56809672 SSB-RIPE SSB1-UANIC ========================== Trap for spam & virii: trap@wildlist.org.ua
28 августа 2006 22:52, Sergei Boudnik написал: > ну это ты совсем криминальную схему нарисовал... Это - уже реальность. И не редкость. > это не является проблемой. Является. Зачастую. > Хуже другое: > спутниковая связь является настолько медленной, что может не выдерживать > тайм-аутов по запросам на соединение. Мда? Как же миллионы людей работают? :) > Из этого может быть такой > интересный выход, как проксирование всех соединений. Не вижу связи. > И оно будет заливать всю DATA, если ему не рубанешь соединение с самого > начала. Ну, если у кого-то именно так настроен прокси - это его личные проблемы, к типу соединения отношения не имеющие. > А в первом случае все решается подключением к провайдеру через VPN. Да? VPN на 2 Mb? 4? 8? Если у клиента еще "что-нибудь" с криптопроцессором потянет, то вот у спутникового провайдера... -- ABATAPA
ABATAPA пишет:
>
>
>Да? VPN на 2 Mb? 4? 8?
>Если у клиента еще "что-нибудь" с криптопроцессором потянет, то вот у
>спутникового провайдера...
>
>
ppoe, постоянно в онлайне окло 300 клиентов и у половины из них 10
Мбит/с работает на двуядерном слоне 3000
что мы делаем не так? нагрузка на цпу до 25%
хинт: правильно собранное ядро :) до пересборки больше 2 мбит/с линк не
держало
--
Best regards,
Sergiy Guminilovych mailto:gray_post@mail.ru
>>>>> On 29 Aug 2006 at 15:15 "SG" == Sergiy Guminilovych writes: >>Да? VPN на 2 Mb? 4? 8? >>Если у клиента еще "что-нибудь" с криптопроцессором потянет, то вот у >>спутникового провайдера... >> >> SG> ppoe, постоянно в онлайне окло 300 клиентов и у половины из них 10 SG> Мбит/с работает на двуядерном слоне 3000 SG> что мы делаем не так? нагрузка на цпу до 25% SG> хинт: правильно собранное ядро :) до пересборки больше 2 мбит/с линк не SG> держало А в чём заключается "правильность"? -- vvk
Vladimir V. Kamarzin пишет:
> SG> ppoe, постоянно в онлайне окло 300 клиентов и у половины из них 10
> SG> Мбит/с работает на двуядерном слоне 3000
> SG> что мы делаем не так? нагрузка на цпу до 25%
> SG> хинт: правильно собранное ядро :) до пересборки больше 2 мбит/с линк не
> SG> держало
>
>А в чём заключается "правильность"?
>
>
>
убрано все лишнее + pppoe интегрирован в ядро + еще "мелочи" которые
знает наш root
--
Best regards,
Sergiy Guminilovych mailto:gray_post@mail.ru
29 августа 2006 13:27, Sergiy Guminilovych написал:
> убрано все лишнее + pppoe интегрирован в ядро + еще "мелочи" которые
> знает наш root
>что мы делаем не так?
PPPoE != VPN
--
ABATAPA
ABATAPA пишет:
>29 августа 2006 13:27, Sergiy Guminilovych написал:
>
>
>>убрано все лишнее + pppoe интегрирован в ядро + еще "мелочи" которые
>>знает наш root
>>что мы делаем не так?
>>
>>
>
>PPPoE != VPN
>
>
да, накладные раходы в ппое меньше, но сат-провайдеры продают впн со
скоростями больше 2 м
--
Best regards,
Sergiy Guminilovych mailto:gray_post@mail.ru
Здравствуйте, Sysadmins. Просьба отписать меня от рассылки новостей. -- С уважением, Сатаев mailto:sataevmv@mail.ru
День добрый! 04.09.06, Сатаев Максим Васильевич написал: > Просьба отписать меня от рассылки новостей. Вы сами должны отписать себя. Делается это тут: > https://lists.altlinux.org/mailman/listinfo/sysadmins -- Всего доброго, Денис.
В сообщении от 11 сентября 2006 13:09 Konstantin. A. Bylym написал(a):
> Доброго всем дня.
> Не подскажет ли кто, как сделать сабж с одного компьютера на другой? (на
> обоих стоит АЛМ24)
>
Э....
Колонки повернуть?
--
С Уважением, Артем Пастухов
past at yam dot ru
Доброго всем дня. Не подскажет ли кто, как сделать сабж с одного компьютера на другой? (на обоих стоит АЛМ24) --- С уважением, Константин Былым.
В сообщении от 11 сентября 2006 13:08 Artem Pastukhov написал(a): > В сообщении от 11 сентября 2006 13:09 Konstantin. A. Bylym написал(a): > > Доброго всем дня. > > Не подскажет ли кто, как сделать сабж с одного компьютера на другой? (на > > обоих стоит АЛМ24) А не посмотреть ли вам в сторону сетевой трансляции звука? > > Э.... > Колонки повернуть? Оригинально, ни чего не скажешь, а это то же решение ... :) -- С уважением Шенцев Алексей Владимирович. E-mail: ashen@nsrz.ru ICQ: 271053845
11 сентября 2006 13:08, Artem Pastukhov написал:
> Э....
> Колонки повернуть?
Здесь же не поклонники Петросяна собрались, посмотрите название списка
рассылки...
По существу:
- Один из выходов - запустить streaming server.
- Можно вспомнить, что всякие artsd и иже с ним умеют network transparency:
$ artsd --help 2>&1 | grep transparency
-n enable network transparency
Соответственно, можно, имея (в данном примере - Вы же не привели никаких
деталей) KDE как рабочий стол, заставить artsd "гнать" звук по сети.
Автору же скажу, что поисковыми системами пользоваться не только не зазорно,
но и полезно. Например, тут я нашел комментарий (2002 год!):
www.redhat.ru/archives/k12osn/2002-May/msg00371.html
Цитата:
Applications that use ESD (the E sound daemon) or the OSS sound drivers
will work. Icewm does not have sound events, but any esd/oss application,
such as XMMS, will work fine under icewm.
KDE is the tricky one, it uses ARTS for its sound events. I can get ARTS
itself to work over the network, but I can't get KDE->ARTS->network sound
to work. As with gnome/icewm, esd/oss apps running under KDE work fine.
--
ABATAPA
On Mon, Aug 28, 2006 at 10:47:33AM +0400, Alexey Sidorov wrote: > > Так проблема только в наличии сообщений в логе или еще что-то? > > У меня это уже года 2 как в лог пишет. И ничего. Вроде работает. > Да вроде-бы тоже работает. > но мессаги эти надоедают. log level понизьте? -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/
ABATAPA пишет: > 11 сентября 2006 13:08, Artem Pastukhov написал: >> Э.... >> Колонки повернуть? > Здесь же не поклонники Петросяна собрались, посмотрите название списка > рассылки... > > По существу: > - Один из выходов - запустить streaming server. > - Можно вспомнить, что всякие artsd и иже с ним умеют network transparency: > $ artsd --help 2>&1 | grep transparency > -n enable network transparency > Соответственно, можно, имея (в данном примере - Вы же не привели никаких > деталей) KDE как рабочий стол, заставить artsd "гнать" звук по сети. Исправляюсь.. Дома имеется сервер, раздающий Х-вые сеансы и три рабочих станции (живу в частном секторе; имеется 2 детей + я сам ;)станции стоят в разных комнатах, сервер - на чердаке). У дочки, так как она самая младшая (5 лет) стол - КДЕ: панель с кнопками выключить/заблокировать и часами + иконки игрушек на столе. Сын (12 лет) чаще сидит в Гноме. У меня в последнее время задержался Айс (хотя иногда и Флюкс появляется). С локальными приводами разобрался. Монтирую через самбу (хотел с пом. нфс - не сложилось с правами доступа). > > Автору же скажу, что поисковыми системами пользоваться не только не зазорно, > но и полезно. Например, тут я нашел комментарий (2002 год!): > www.redhat.ru/archives/k12osn/2002-May/msg00371.html Перед тем, как спросить, естесственно гуглил. Может не так спрашивал? > > Цитата: > Applications that use ESD (the E sound daemon) or the OSS sound drivers > will work. Icewm does not have sound events, but any esd/oss application, > such as XMMS, will work fine under icewm. > > KDE is the tricky one, it uses ARTS for its sound events. I can get ARTS > itself to work over the network, but I can't get KDE->ARTS->network sound > to work. As with gnome/icewm, esd/oss apps running under KDE work fine. >
[-- Attachment #1: Type: text/plain, Size: 304 bytes --] В сообщении от 11 сентября 2006 12:09 Konstantin. A. Bylym написал(a): > Доброго всем дня. > Не подскажет ли кто, как сделать сабж с одного компьютера на другой? (на > обоих стоит АЛМ24) http://www.pulseaudio.org/ Или поставить Сизиф и из него apt-get install pulseaudio-full -- Slipknot - Metabolic [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
Michael Shigorin пишет:
> On Mon, Aug 28, 2006 at 10:47:33AM +0400, Alexey Sidorov wrote:
>
>>> Так проблема только в наличии сообщений в логе или еще что-то?
>>> У меня это уже года 2 как в лог пишет. И ничего. Вроде работает.
>>>
>> Да вроде-бы тоже работает.
>> но мессаги эти надоедают.
>>
>
> log level понизьте?
>
>
Радует меня такой подход :)
Наверное ведь потому и самолёты падают.....
Типа разговор техслужб:
- там какая-то аварийная лампочка мигает
- да? самолёт летает, всё работает. Ну ничего и не трожь. А лампочку -
выкрути
А хотелось бы не убрать мессаги, а исправить причину их появления....
[-- Attachment #1: Type: text/plain, Size: 891 bytes --] Alexey Sidorov пишет: >>>> Так проблема только в наличии сообщений в логе или еще что-то? >>>> У меня это уже года 2 как в лог пишет. И ничего. Вроде работает. >>>> >>> Да вроде-бы тоже работает. >>> но мессаги эти надоедают. >>> >> log level понизьте? >> > Радует меня такой подход :) > Наверное ведь потому и самолёты падают..... > Типа разговор техслужб: > - там какая-то аварийная лампочка мигает > Вы уверены что аварийная? > - да? самолёт летает, всё работает. Ну ничего и не трожь. А лампочку - > выкрути > > А хотелось бы не убрать мессаги, а исправить причину их появления.... > Ну тогда попробуйте разобраться ;-) . Мне тоже интересно. Когда разберетесь - расскажите. Я когда-то в этой рассылке спрашивал. ab@ сказал что не обращайте внимания. Может еще что-то нагуглите. -- С уважением, Дубровский Вячеслав. [-- Attachment #2: S/MIME Cryptographic Signature --] [-- Type: application/x-pkcs7-signature, Size: 3237 bytes --]
Slava Dubrovskiy пишет: > Вы уверены что аварийная? > Нет, конечно, не уверен Но и в обратном тоже > Ну тогда попробуйте разобраться ;-) . Мне тоже интересно. Когда > разберетесь - расскажите. > Я когда-то в этой рассылке спрашивал. ab@ сказал что не обращайте > внимания. Может еще что-то нагуглите. > Пытался.... не получилось :)
[-- Attachment #1: Type: text/plain, Size: 935 bytes --] Здравствуйте Alexey Sidorov В сообщении от 12 сентября 2006 14:32 Alexey Sidorov написал(a): > > Вы уверены что аварийная? > > Нет, конечно, не уверен > > Но и в обратном тоже > > > Ну тогда попробуйте разобраться ;-) . Мне тоже интересно. Когда > > > > разберетесь - расскажите. > > > > Я когда-то в этой рассылке спрашивал. ab@ сказал что не обращайте > > > > внимания. Может еще что-то нагуглите. > > Пытался.... > > не получилось :) > У меня такое было, когда две проги с разных машин обращаются к одному файлу и одна из них получала "отлуп" -- А ещё говорят так (fortune): Из всех типов человеков наиболее отвратительны персонажи, не способные признавать свои ошибки, и готовые всячески юлить и выкручиваться, лишь бы не признать собственную неправоту. -- WidowMaker (linux.org.ru) ________________________________________________________________________ С уважением Хихин Руслан (hihin@rambler.ru) [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
On Mon, Sep 18, 2006 at 03:02:12PM +0400, Fr. Br. George wrote: > Поскольку на 95% спам идёт с заражённых троянами IP, считайте, > что все миллионы -- ваши. Ты опять отстал от жизни, а мне уже надоедает такие случаи указывать. Последний год, судя по тому, что слышу от провайдеров и диагоналю в обзорах -- через релеи ISP примерно 60%. > Если вам интересен разговор, предлагаю продолжить его в [sysadmins@]. Ага. -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/
Fr. Br. George пишет:
> On Mon, Sep 18, 2006 at 11:55:25AM +0400, "Дворников М.В." wrote:
>> Как я понимаю, spamassasin определяет спам только
>> после прочтения сообщения.
>> Мне достаточно отвергать письма сразу по ip-сервера.
>> Создал отдельный почтовый ящик и настроил Thunderbird
>> на направление спама в этот ящик.
>>
>> На perl напишу программу, вырезающую первую строку
>> Received: ... [213.145.47.81]
>> и запишу в /etc/postfix/access.
>>
>> В том направлении действую?
> Нет. Среди цепочки Received могут быть вполне приличные провайдеры.
> Например, последний элемент Received нашего списка рассылки. А ведь по
> .forward всегда можно получить через него спам. Но и первый Received в
> чепочке ненадёжен -- хитрые спам-еngine добавляют туда ложную
> информацию. Нужен некоторый искусственный интеллект, чтобы понять, где
> заканчивается истинная цепочка и начинается ложная.
>
> Если вы в своём postfix не пользуетесь чёрными списками типа ordb.org,
> dul.ru, dynablock.njabl.org и им подобными, то тем более не в том. На
> сегодняшний день сетевые чёрные списки содержат миллионы IP. Ручное их
> воссоздание займёт несколько жизней. Поскольку на 95% спам идёт с
> заражённых троянами IP, считайте, что все миллионы -- ваши.
>
>> Можно у всех пользователей так настроить.
> Будьте готовы, что в спам попадёт всё, что не понравилось хотя бы одному
> пользователю. IP тёщи и её провайдера, например :).
>
> Если вам интересен разговор, предлагаю продолжить его в [sysadmins@].
Перешел в эту рассылку.
Китайцы просто достали со спамом.
Поэтому прямо зарубил блоки адресов класса А - ZZZ.
Оказалось адреса выделяются не подряд и в черный список попали
нужные сервера. Есть умельцы с адресами XXX.XXX.XXX.1-254.
Как только давишь один ip, они переходят на другой адрес.
Received: from ppp83-237-1-140.pppoe.mtu-net.ru
(ppp83-237-1-140.pppoe.mtu-net.ru [83.237.1.140])
Достаточно ясно "кто воровал плюшки".
--
С уважением, Дворников Михаил.
Received: from "что_хочу_напишу" (unknown [62.118.232.68]) 62.118.232.68 - ip все равно виден. X-Mailer: Microsoft Outlook Express 6.00.2900.2869 X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2962 По поводу умных программ для рассылки спама :) -- С уважением, Дворников Михаил.
On Mon, Sep 18, 2006 at 04:40:58PM +0400, Fr. Br. George wrote: > > > Поскольку на 95% спам идёт с заражённых троянами IP, > > > считайте, что все миллионы -- ваши. > > Ты опять отстал от жизни, а мне уже надоедает такие случаи > > указывать. > Ты опять разводишь абстракцию вместо практики, а мне уже > надоедает такие случаи указывать. Последний год, судя по тому, > что показывают журналы моих серверов, этот процент ещё выше. И как ты отличаешь "зараженные троянами IP", интересно? (по бэкрезолвингу максимум вида ip-uncle-joe-1.dsl.verizon.net?) > > Последний год, судя по тому, что слышу от провайдеров и > > диагоналю в обзорах -- через релеи ISP примерно 60%. > Статистика у провайдеров меня действительно меньше волнует, > чем статистика на моих серверах. Ну так и говори -- "у меня 95%". :) "У меня" проверка бэкрезолвинга в качестве вынужденной (полосой) меры [тоже] большую половину отшивает (на глаз -- mailgraph как сломался при переезде на 2.4, так его и забросил, не починив быстро). Но при этом я из этого глобальных выводов и универсальных рекомендаций не делаю, поскольку более умный и ушлый в теме народ говорит, что спамеры начинают бросать кухарок (точнее, не пытаться слать прямо с них). -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/
Michael Shigorin пишет:
> И как ты отличаешь "зараженные троянами IP", интересно?
> (по бэкрезолвингу максимум вида ip-uncle-joe-1.dsl.verizon.net?)
Трояны - в смысле вирусы или просто пересылка спама?
Вирусные письма приходят в единичных количествах и не каждый день.
--
С уважением, Дворников Михаил.
В сообщении от 19 сентября 2006 08:49 Дворников М.В. написал(a):
> Вирусные письма приходят в единичных количествах и не каждый день.
Везёт, мне на контору за сутки штук 80 вирусованных писем сыплется. Причём
зачастую с вполне приличных доменов.
--
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
ICQ: 271053845
On Tue, Sep 19, 2006 at 08:49:41AM +0400, "Дворников М.В." wrote: > >И как ты отличаешь "зараженные троянами IP", интересно? > >(по бэкрезолвингу максимум вида ip-uncle-joe-1.dsl.verizon.net?) > Трояны - в смысле вирусы или просто пересылка спама? Вирусные > письма приходят в единичных количествах и не каждый день. В смысле "кухарка на DSL поймала троян через свой дырявый IE или ещё как-нибудь, и он теперь озадачен тем, чтобы наспамить". Такие машинки ещё называются drones, в количествах порядка пары десятков тысяч -- drone armies; доступ к ним является объектом купли-продажи (цены -- порядка $500 AFAIH) с целью использования ранее преимущественно для (взаимных) DDoS деток, а где-то пару лет назад уже преимущественно для спама. Так что если кто-нить будет говорить "а у меня винда, я никому ничего плохого не сделал", то стоит поинтересоваться -- а не на бродбэнде ли она. А с конца года -- и зарегистрирована ли, поскольку sec updates для всех вроде как решили закончить. -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/
На календаре было: Вторник, 19 Сентября 2006 года, Michael Shigorin писал(а) в сообщении: MS == Michael Shigorin MS > В смысле "кухарка на DSL поймала троян через свой дырявый IE или MS > ещё как-нибудь, и он теперь озадачен тем, чтобы наспамить". MS > MS > Такие машинки ещё называются drones, Такие машинки, обычно, не имеют MX записей в DNS и имена имеют вида 201-048-062-132.xd-dynamic.ctbcnetsuper... Или домен отправителя, подставленный "заразой", не совпадает с реальным... Это вполне успешно режется фильтрами postfix ... По идее, почтовый сервер не должен принимать почту от них ... И это правильно... -- Best regards, Dmitriy L. Kruglikov .--. Dmitriy.Kruglikov_at_orionagro.com.ua |@_@ | DKR6-RIPE |!_/ | ICQ# 13047326 // \ \ XMPP:dkr6@jabber.ru (| | ) /'\_ _/`\ Powered by Linux \___)=(___/ -- Мысль -- - Как один пук разделить на пять частей? - Пукнуть в перчатку
>>>>> On 19 Sep 2006 at 12:55 "DLK" == Dmitriy L Kruglikov writes: DLK> MS > В смысле "кухарка на DSL поймала троян через свой дырявый IE или DLK> MS > ещё как-нибудь, и он теперь озадачен тем, чтобы наспамить". DLK> MS > DLK> MS > Такие машинки ещё называются drones, DLK> Такие машинки, обычно, не имеют MX записей в DNS DLK> и имена имеют вида 201-048-062-132.xd-dynamic.ctbcnetsuper... DLK> Или домен отправителя, подставленный "заразой", не совпадает с реальным... DLK> Это вполне успешно режется фильтрами postfix ... btw, для такого предпочитаю spam_check http://www.freesource.info/wiki/Dokumentacija/Postfix/antispam/spamcheck -- vvk
On Tue, Sep 19, 2006 at 01:07:29PM +0600, Vladimir V. Kamarzin wrote: > DLK> Это вполне успешно режется фильтрами postfix ... > btw, для такого предпочитаю spam_check > http://www.freesource.info/wiki/Dokumentacija/Postfix/antispam/spamcheck О, спасибо! -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/
На календаре было: Вторник, 19 Сентября 2006 года, Vladimir V. Kamarzin писал(а) в сообщении: VVK == Vladimir V. Kamarzin VVK > btw, для такого предпочитаю spam_check Цитата : > Система наиболее эффективна лишь на хостах с достаточно большим числом > активных почтовых ящиков (не меньше 1000-2000, сейчас используется в > двух системах с примерно 5000 и 9000 активных пользователей, для систем с > небольшим трафиком эффективен "tail" режим слежения за лог файлом). Для фирм и фирмочек на 20-50-100 юзверей такая система малоэффективна... Лучший результат дает таки блокировка по правилам *SBL... -- Best regards, Dmitriy L. Kruglikov .--. Dmitriy.Kruglikov_at_orionagro.com.ua |@_@ | DKR6-RIPE |!_/ | ICQ# 13047326 // \ \ XMPP:dkr6@jabber.ru (| | ) /'\_ _/`\ Powered by Linux \___)=(___/ -- Мысль -- Никогда не противься искушению, испытывай все и твердо придерживайся того, что окажется хорошим. -- Бернард Шоу
Dmitriy L. Kruglikov wrote: > На календаре было: Вторник, 19 Сентября 2006 года, > Michael Shigorin писал(а) в сообщении: > > MS == Michael Shigorin > > MS > В смысле "кухарка на DSL поймала троян через свой дырявый IE или > MS > ещё как-нибудь, и он теперь озадачен тем, чтобы наспамить". > MS > > MS > Такие машинки ещё называются drones, > > Такие машинки, обычно, не имеют MX записей в DNS Я не знал, что почтовый релей (сервер, отправляющий почту) обязан иметь MX запись. > и имена имеют вида 201-048-062-132.xd-dynamic.ctbcnetsuper... Не вижу криминала - имя как имя. > Или домен отправителя, подставленный "заразой", не совпадает с реальным... Ещё SPF осталось вспомнить... > Это вполне успешно режется фильтрами postfix ... > > По идее, почтовый сервер не должен принимать почту от них ... > И это правильно... Вот-вот, так и режется нормальная почта. Наверное, вопрос о выборе между двумя методиками борьбы со спамом, одна из которых пропускает 100 штук спама и не режет ни одного нормального письма, а вторая - режет хотя бы одно нормальное письмо, - риторический. По крайней мере для тех, с кого спрашивают, куда вдруг подевалось *очень*важное*письмо*. P.S. Я от спама терплю не меньше вашего :-( Только все эти антиспамные технологии, прикручиваемые к протоколу SMTP, больше напоминают попытки упорно продолжать жрать кактус :-\ -- // AB1002-UANIC
>>>>> On 19 Sep 2006 at 13:14 "DLK" == Dmitriy L Kruglikov writes: DLK> VVK > btw, для такого предпочитаю spam_check DLK> Цитата : >> Система наиболее эффективна лишь на хостах с достаточно большим числом >> активных почтовых ящиков (не меньше 1000-2000, сейчас используется в >> двух системах с примерно 5000 и 9000 активных пользователей, для систем с >> небольшим трафиком эффективен "tail" режим слежения за лог файлом). DLK> Для фирм и фирмочек на 20-50-100 юзверей такая система малоэффективна... Я бы не был так категоричен. DLK> Лучший результат дает таки блокировка по правилам *SBL... DNSBL-и в чистом виде (reject_rbl_client) я перестал использовать потому как всецело доверять каждому dnslbl-ю по-отдельности - опасно. Например spamcop, в который иногда попадают благонадёжные хосты, но в целом - вполне объективный. В общем, весовая оценка тут самое оно, утилита - policyd-weight. http://www.freesource.info/wiki/Dokumentacija/Postfix/antispam/smtppolicy/policydweight -- vvk
На календаре было: Вторник, 19 Сентября 2006 года, Andrei Bulava писал(а) в сообщении: AB == Andrei Bulava AB > > Такие машинки, обычно, не имеют MX записей в DNS AB > AB > Я не знал, что почтовый релей (сервер, отправляющий почту) обязан иметь AB > MX запись. А разве я написал слово "обязательно" ? Но машинка, не являющаяся почтовым сервером, стало быть, не собирается принимать ответы на свои письма ... Подозрительно? AB > AB > > и имена имеют вида 201-048-062-132.xd-dynamic.ctbcnetsuper... AB > AB > Не вижу криминала - имя как имя. Вполне нормальное имя .... Для кухаркиной машины, которая при следующем входе в сеть получит другое имя ... Динамика, однако... Опять же, подозрительно... А почтовые сервера работают на статических адресах... AB > AB > > Или домен отправителя, подставленный "заразой", не совпадает с реальным... AB > Если моему почтовому серверу предлагается письмо от lists.altlinux.org, от имени машины 201-048-062-132.xd-dynamic.ctbcnetsuper, IP-адрес которой не имеет ни какого отношения к lists.altlinux.org, какое решение должен принять мой сервер? Правильно ... Послать его нафиг ... AB > Ещё SPF осталось вспомнить... Я не утверждаю, что обязательно вспоминать :) AB > Вот-вот, так и режется нормальная почта. А мы с вами тут для чего? Порезалась нормальная почта, прописали соответствующие разрешения... И все ... Медитируем над логами дальше .... :) Работа у нас такая ... AB > Наверное, вопрос о выборе между AB > двумя методиками борьбы со спамом, одна из которых пропускает 100 штук AB > спама и не режет ни одного нормального письма, а вторая - режет хотя бы AB > одно нормальное письмо, - риторический. По крайней мере для тех, с кого AB > спрашивают, куда вдруг подевалось *очень*важное*письмо*. Давайте посмотрим на вопрос спама и вирусов комплексно... Откуда берутся адреса в спамерской базе? В том числе и из адресных книг с зараженных компьютеров ... А вирусы рассылаются как? Правильно, так же, как и спам ... Цель написания вирусов, тырящих адресные книги - наполнение спамерских баз... Теперь вопрос: А не проникнет ли к нам в сеть вирус, который не адресные книги будет тырить, а стирать все нафиг, и BIOS выжигать ? Параноик ? Да ... И лучше я одно письмо очень важное потеряю, перепишу правила и приму его повторно, или помогу сисадмину отправляющей стороны настроить нормально почту, чем потеряю несколько машин и кучу важных файлов... Но это, естественно, мое личное мнение ... Всем читающим, перед применением рекомендаций, долго думать и взвешивать "За" и "Против"... AB > P.S. Я от спама терплю не меньше вашего :-( Только все эти антиспамные AB > технологии, прикручиваемые к протоколу SMTP, больше напоминают попытки AB > упорно продолжать жрать кактус :-\ А что нам остается? Разве что методы активного противодействия ... Принудительная очистка жесткого диска пораженной машины от вируса ... И, попутно, от всех остальных файлов ... :( -- Best regards, Dmitriy L. Kruglikov .--. Dmitriy.Kruglikov_at_orionagro.com.ua |@_@ | DKR6-RIPE |!_/ | ICQ# 13047326 // \ \ XMPP:dkr6@jabber.ru (| | ) /'\_ _/`\ Powered by Linux \___)=(___/ -- Мысль -- Вот сидит паренёк - без пяти минут веб-мастер.
>>>>> On 19 Sep 2006 at 14:01 "DLK" == Dmitriy L Kruglikov writes:
DLK> AB > > Такие машинки, обычно, не имеют MX записей в DNS
DLK> AB >
DLK> AB > Я не знал, что почтовый релей (сервер, отправляющий почту) обязан иметь
DLK> AB > MX запись.
DLK> А разве я написал слово "обязательно" ?
DLK> Но машинка, не являющаяся почтовым сервером, стало быть, не собирается принимать ответы
DLK> на свои письма ... Подозрительно?
Это может быть "чиста релей", который только отправляет, но не
принимает.
--
vvk
На календаре было: Вторник, 19 Сентября 2006 года, Vladimir V. Kamarzin писал(а) в сообщении: VVK == Vladimir V. Kamarzin VVK > DLK> Но машинка, не являющаяся почтовым сервером, стало быть, не собирается принимать ответы VVK > DLK> на свои письма ... Подозрительно? VVK > VVK > Это может быть "чиста релей", который только отправляет, но не VVK > принимает. Еще ни разу не видел релеев, которые бы телепались на динамических адресах и представлялись чужими именами... А если видел, то режектил почту от них ... Нормальный "чиста релей" должен представляться именем домена, у которого есть MX запись ... В этом случае, почта выходит из домена из одного сервера, а заходит в домен на другой ... Но валидные записи в DNS должны иметь оба... Представьте себе, что к вам на улице подходит человек, называется Васей, показывает паспорт на имя Пети, и просит денег... При этом, показывает мятую бумажку, в которой написано, что он представитель ООО "МММ", и по этому имеет право называться Васей... Хотя у него и есть паспорт на имя Пети, а зовут его, на самом деле, Спамер Кидалович ... Смешно? А кто-то поверит ... В случае со спамом мы имеем такую же ситуацию... Вы пытаетесь убедить меня, что режим неправильного использования возможен... Да, возможен, технически и теоретически ... По этому и спам возможен ... Вот если мы все поставим блокировки на такие релеи, и админы этих релеев таки пропишут нормально свои сервера, и у себя спам порежут, то будет нам щасстя ... А пока будем сами себя убеждать, что нужно отключать фильтры, потому что какой-то недобросовестный админ кривыми руками настроил спам-релей, то и будем в дерьме ковыяться... -- Best regards, Dmitriy L. Kruglikov .--. Dmitriy.Kruglikov_at_orionagro.com.ua |@_@ | DKR6-RIPE |!_/ | ICQ# 13047326 // \ \ XMPP:dkr6@jabber.ru (| | ) /'\_ _/`\ Powered by Linux \___)=(___/ -- Мысль -- Нет человека, который, прочитав прозаическое произведение, не подумал бы: "Постараюсь - напишу и получше". -- Вовенарг
>>>>> On 19 Sep 2006 at 14:46 "DLK" == Dmitriy L Kruglikov writes:
DLK> VVK > DLK> Но машинка, не являющаяся почтовым сервером, стало быть, не собирается принимать ответы
DLK> VVK > DLK> на свои письма ... Подозрительно?
DLK> VVK >
DLK> VVK > Это может быть "чиста релей", который только отправляет, но не
DLK> VVK > принимает.
DLK> Еще ни разу не видел релеев, которые бы телепались на динамических адресах
DLK> и представлялись чужими именами...
DLK> А если видел, то режектил почту от них ...
Эээ, я не про динамические адреса отвечал, а про то, что релей MX-ером быть не
обязан.
DLK> Нормальный "чиста релей" должен представляться именем домена,
DLK> у которого есть MX запись ...
Нет, не должен. Что там у него в helo - дело десятое, лишь бы соблюдалось
требование RFC 2821:
The domain name given in the EHLO command MUST BE either a primary
host name (a domain name that resolves to an A RR) or, if the host
has no name, an address literal as described in section 4.1.1.1.
--
vvk
На календаре было: Вторник, 19 Сентября 2006 года, Vladimir V. Kamarzin писал(а) в сообщении: VVK == Vladimir V. Kamarzin VVK > Эээ, я не про динамические адреса отвечал, а про то, что релей MX-ером быть не VVK > обязан. Не обязан .... Но и спам пересылать он не обязан ... Если требования RFC устарели, то их нужно пересматривать :) Это ж не догма, в конце концов ... VVK > Нет, не должен. Что там у него в helo - дело десятое, лишь бы соблюдалось VVK > требование RFC 2821: Ага ... Я как раз его читаю... Правда, в переводе ... :) VVK > The domain name given in the EHLO command MUST BE either a primary VVK > host name (a domain name that resolves to an A RR) or, if the host VVK > has no name, an address literal as described in section 4.1.1.1. Там еще написано, что сервер не должен отвергать сообщение, если в HELO/EHLO фигня насыпана ... Оно то, конечно, так... Только спамеры этими делами и пользуются ... А когда писали RFC, такой волны спама не было ... И, тут уж, каждый решает для себя ... Вот, например, если следовать рекомендации 2821 3.6 Domains Only resolvable, fully-qualified, domain names (FQDNs) are permitted when domain names are used in SMTP. In other words, names that can be resolved to MX RRs or A RRs (as discussed in section 5) are permitted, as are CNAME RRs whose targets can be resolved, in turn, to MX or A RRs. Local nicknames or unqualified names MUST NOT be used. There are two exceptions to the rule requiring FQDNs: - The domain name given in the EHLO command MUST BE either a primary host name (a domain name that resolves to an A RR) or, if the host has no name, an address literal as described in section 4.1.1.1. Разве тут сказано, что можно представляться чужим именем? Или именем, не поддающимся обратному резолвингу? А более того, _именем моего домена_ ??? Вот по этому я резал, режу и буду резать... Сабелька затупится, буду зубами рвать :) -- Best regards, Dmitriy L. Kruglikov .--. Dmitriy.Kruglikov_at_orionagro.com.ua |@_@ | DKR6-RIPE |!_/ | ICQ# 13047326 // \ \ XMPP:dkr6@jabber.ru (| | ) /'\_ _/`\ Powered by Linux \___)=(___/ -- Мысль -- Близкое общение - вот откуда берут свое начало нежнейшая дружба и сильнейшая ненависть. -- Ривароль
Доброе утро! Итак, имеем шлюзовую машинку в интернет: интерфейс к провайдеру eth0 у него 4 адреса 10.0.0.81 10.0.0.82 10.0.0.83 10.0.0.84 интерфейс в локальную сеть eth1 у него тоже 4 адреса 192.168.10.1 192.168.20.1 192.168.30.1 192.168.40.1 через 'iptables -t nat -j SNAT ' настроено, чтобы каждая подсеть ходила к провайдеру через свой адрес 192.168.10.1/24 --> 10.0.0.81 и т.д. (Почему такой изврат? Потому что начальная постановка задачи заказчиком неожиданно меняется в последний момент. У госконторы (т.е денег дополнительных на оборудование не будет, и все делать только программно) четыре финансово независимых подразделения, каждое из которых за инет будет платить только за себя. Самостоятельный пересчет по собственному биллингу бухгалтерию не устраивает - счета будет выставлять провайдер) Ладно, справился, с провайдером договорились на доп.адреса, настроил. Остался вопрос с прозрачной проксей. Как сказать сквиду (или не только сквиду) чтобы он на запрос поступивший из подсети 192.168.10.1/24 отправлял запрос к провайдеру от локального адреса 10.0.0.81, а из подсети 192.168.20.1 - от адреса 10.0.0.82, и т.д. ? Куда копать? И возможно ли вообще такое? -- Alexander
[-- Attachment #1: Type: text/plain, Size: 534 bytes --] Alexander Yereschenko пишет: > Доброе утро! > вечер :-) > Как сказать сквиду (или не только сквиду) чтобы он на запрос поступивший из > подсети 192.168.10.1/24 отправлял запрос к провайдеру от локального адреса > 10.0.0.81, а из подсети 192.168.20.1 - от адреса 10.0.0.82, и т.д. ? > > Куда копать? > Вообще-то, IMHO, этим должен заниматься не сквид, а роутинг. Если у прова есть на каждый IP отдельный сквид, то можно указать родительский для каждой сетки через ACL. -- С уважением, Дубровский Вячеслав. [-- Attachment #2: S/MIME Cryptographic Signature --] [-- Type: application/x-pkcs7-signature, Size: 3237 bytes --]
На календаре было: Вторник, 19 Сентября 2006 года, Alexander Yereschenko писал(а) в сообщении: AY == Alexander Yereschenko AY > Доброе утро! Ну вы и спите, мистер ... Дата: Tue, 19 Sep 2006 16:14:43 +0300 :) А теперь к делу ... AY > AY > Как сказать сквиду (или не только сквиду) чтобы он на запрос поступивший из AY > подсети 192.168.10.1/24 отправлял запрос к провайдеру от локального адреса AY > 10.0.0.81, а из подсети 192.168.20.1 - от адреса 10.0.0.82, и т.д. ? ... AY > И возможно ли вообще такое? AY > Возможно ... Делается это элементарно (кому как :)) Вот пример настройки для раздачи медленного и быстрого каналов: Работает перенаправление по адресам, протоколам и расширениям файлов... Текст качаем по быстрому каналу, картинки по медленному 1) Настраиваем ACL по адресам подсетей и/или хостов... acl SPEED_HOST src 192.168.0.4 acl SLOW_PROTO proto FTP acl SLOW_DOWN urlpath_regex -i \.avi$ 2) Указываем для каждого ACL tcp_outgoing_address 111.222.333.444 SLOW_HOST tcp_outgoing_address 555.666.777.888 SLOW_PROTO 3) Ну и последней строкой еще должен быть прописан адрес по умолчанию ... Вдруг кто не попал в нужный ACL ... У меня это все работает... Разберетесь, или нужно прописать сразу для вашей задачи? -- Best regards, Dmitriy L. Kruglikov .--. Dmitriy.Kruglikov_at_orionagro.com.ua |@_@ | DKR6-RIPE |!_/ | ICQ# 13047326 // \ \ XMPP:dkr6@jabber.ru (| | ) /'\_ _/`\ Powered by Linux \___)=(___/ -- Мысль -- Слезы - дождь, отводящий грозу. -- Сент-Экзюпери
В сообщении от 19 Сентябрь 2006 17:21 Dmitriy L. Kruglikov написал(a):
>
> 1) Настраиваем ACL по адресам подсетей и/или хостов...
> acl SPEED_HOST src 192.168.0.4
> acl SLOW_PROTO proto FTP
> acl SLOW_DOWN urlpath_regex -i \.avi$
>
> 2) Указываем для каждого ACL
> tcp_outgoing_address 111.222.333.444 SLOW_HOST
> tcp_outgoing_address 555.666.777.888 SLOW_PROTO
>
> 3) Ну и последней строкой еще должен быть прописан адрес по умолчанию ...
> Вдруг кто не попал в нужный ACL ...
>
> У меня это все работает...
>
> Разберетесь, или нужно прописать сразу для вашей задачи?
Спасибо. Разберемся. Идея понятна.
--
Alexander
On Tue, Sep 19, 2006 at 04:14:43PM +0300, Alexander Yereschenko wrote: > Как сказать сквиду (или не только сквиду) чтобы он на запрос поступивший из > подсети 192.168.10.1/24 отправлял запрос к провайдеру от локального адреса > 10.0.0.81, а из подсети 192.168.20.1 - от адреса 10.0.0.82, и т.д. ? Как вариант, запустить четыре сквида на разных IP в разных vserver или openvz container? -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/
On Mon, Sep 18, 2006 at 08:23:46PM +0300, Michael Shigorin wrote: > И как ты отличаешь "зараженные троянами IP", интересно? > (по бэкрезолвингу максимум вида ip-uncle-joe-1.dsl.verizon.net?) Примерно так. Плюс по отсутствию оного. Плюс по dynamic pool в whois. И т. п. Если некая машинка, для рассылки почты не предназначенная, с каким-нибудь занюханным виндовзом, вдруг начинает поливать спамом, ответ очевиден. Спор-то был о том, часто ли с релея провайдера шлют. Нечасто. Но точные цифры, разумеется, сказать невозможно. Оговорюсь: под "заражением троянами" я разумею "инсталляцию спам-бота", но это как раз одно и то же. > > > > Последний год, судя по тому, что слышу от провайдеров и > > > диагоналю в обзорах -- через релеи ISP примерно 60%. > > Статистика у провайдеров меня действительно меньше волнует, > > чем статистика на моих серверах. > > "У меня" проверка бэкрезолвинга в качестве вынужденной (полосой) > меры [тоже] большую половину отшивает (на глаз -- mailgraph как > сломался при переезде на 2.4, так его и забросил, не починив > быстро). Но при этом я из этого глобальных выводов и > универсальных рекомендаций не делаю, поскольку более умный > и ушлый в теме народ говорит, что спамеры начинают бросать > кухарок (точнее, не пытаться слать прямо с них). Пытались. Но есть два неустранимых препятствия: 1) у провайдеров обычно более сильная antispam-team, чем у кухарок, 2) провайдеров несклько меньше, чем кухарок. Поэтому пересылка через провайдера -- дело не шибко надёжное: если начнёшь поливать спамом в промысловых количествах (сотни, а иногда и тысячи соединений в секунду), тебся поймают через секунду. Года два назад была такая песня: все наши провайдеры кинулись настраивать timeout-фильтры, чтобы не больше K писем в M минут с /N сетки. Ну, и донастривались: поста с umail на rol до сих пор ходит больше суток :(. А если наливать в час по чайной ложке -- тебя схавают чёрные списки. Куда как легче зайти на irc, скачать список тысячи-другой свежеотдрюченных виндовзов со спам-ботами и налить в каждую по чуть-чуть. Спам-бот не дурак, он не станет сильно долбиться в одно и то же место. Тем же путём и заказные DOS-ы делаются. Только покупателей меньше. Кстати, вот ещё один неформальный признак бота: пришло письмо из Бразилии со спамом на русской про грузчиков, из одмена, которого ты в глаза не видел, и которого не увидишь больше никогда. Возможно, не одно письмо, а три. -- George V. Kouryachy (aka Fr. Br. George) mailto:george at altlinux_ru
On Tue, Sep 19, 2006 at 10:10:49AM +0300, Michael Shigorin wrote:
> On Tue, Sep 19, 2006 at 01:07:29PM +0600, Vladimir V. Kamarzin wrote:
> > DLK> Это вполне успешно режется фильтрами postfix ...
> > btw, для такого предпочитаю spam_check
> > http://www.freesource.info/wiki/Dokumentacija/Postfix/antispam/spamcheck
>
> О, спасибо!
Опасная вещь, требует ручной проверки. Бывали легальные почтовые
сервера с адресом mail.adsl.stupid.isp, и 1-3-34-34.tralivali.fr .
Причём и первые ни в чём не виноваты, и вторые, у вторых даже
какое-нибудь полиси на сайте написано: дескать "1-3" -- это статические
адреса, а вот "1-7" -- динамические.
--
George V. Kouryachy (aka Fr. Br. George)
mailto:george at altlinux_ru
On Mon, Sep 18, 2006 at 03:49:13PM +0400, "Дворников М.В." wrote:
> Received: from "что_хочу_напишу" (unknown [62.118.232.68])
> 62.118.232.68 - ip все равно виден.
>
> X-Mailer: Microsoft Outlook Express 6.00.2900.2869
> X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2962
>
> По поводу умных программ для рассылки спама :)
Скормите это письмо спамкопу. Скорее всего увидите что-то типа "fake
Outlook Express X-Mailer", потому что никакой это не OE, а дрон.
--
George V. Kouryachy (aka Fr. Br. George)
mailto:george at altlinux_ru
On Mon, Sep 18, 2006 at 03:44:25PM +0400, "Дворников М.В." wrote:
> Перешел в эту рассылку.
> Китайцы просто достали со спамом.
> Поэтому прямо зарубил блоки адресов класса А - ZZZ.
> Оказалось адреса выделяются не подряд и в черный список попали
> нужные сервера. Есть умельцы с адресами XXX.XXX.XXX.1-254.
> Как только давишь один ip, они переходят на другой адрес.
Ох, кажется мне, что вы решились пройти по всем сорока граблям
начинающего спамоборца :(.
Проблема фильтрации зело трудна и запутана есть. На каждый эффективный
способ фильтрации найдётся простой пример невинно отфильтрованного :(.
--
George V. Kouryachy (aka Fr. Br. George)
mailto:george at altlinux_ru
On Wed, Sep 20, 2006 at 03:59:17AM +0400, Fr. Br. George wrote: > > И как ты отличаешь "зараженные троянами IP", интересно? > > (по бэкрезолвингу максимум вида ip-uncle-joe-1.dsl.verizon.net?) > Примерно так. Плюс по отсутствию оного. Плюс по dynamic pool в > whois. И т. п. Если некая машинка, для рассылки почты не > предназначенная, с каким-нибудь занюханным виндовзом, вдруг > начинает поливать спамом, ответ очевиден. Спор-то был о том, > часто ли с релея провайдера шлют. Нечасто. Но точные цифры, > разумеется, сказать невозможно. Собсно не поленился отгуглить то, что имел в виду: http://www.spamtest.ru/news.html?id=19578 > Оговорюсь: под "заражением троянами" я разумею "инсталляцию > спам-бота", но это как раз одно и то же. "И ты прав", но вроде как "и я". :) -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/
On 19.09.2006 21:48:11, Michael Shigorin wrote: > Как вариант, запустить четыре сквида на разных IP в разных > vserver или openvz container? lol! не у одного меня такие бредовые мысли возникают :) Ильдар -- Ildar Mulyukov, free SW designer/programmer/packager ========================================= email: ildar@altlinux.ru ALT Linux Sisyphus http://www.sisyphus.ru =========================================
>>>>> On 20 Sep 2006 at 10:20 "MS" == Michael Shigorin writes: MS> Собсно не поленился отгуглить то, что имел в виду: MS> http://www.spamtest.ru/news.html?id=19578 А, ну так как раз в то время ISP и кинулись rate-limit-инг втыкать :) После чего ситуация в принципе опять устаканилась... -- vvk
>>>>> On 20 Sep 2006 at 05:59 "FBG" == Fr Br George writes: >> On Tue, Sep 19, 2006 at 01:07:29PM +0600, Vladimir V. Kamarzin wrote: >> > DLK> Это вполне успешно режется фильтрами postfix ... >> > btw, для такого предпочитаю spam_check >> > http://www.freesource.info/wiki/Dokumentacija/Postfix/antispam/spamcheck >> >> О, спасибо! FBG> Опасная вещь, требует ручной проверки. Бывали легальные почтовые FBG> сервера с адресом mail.adsl.stupid.isp, и 1-3-34-34.tralivali.fr . spam_check анализирует и открытые порты, т.е. например наличие открытых 25/110/80 на таком stupid будет свидетельствовать о его валидности, что скорее всего обеспечит прохождение почты. Но если имеются всякие 1025,5000,3128,1080,8080 - возможно будет как раз reject. Все веса естесвенно настраиваемые. -- vvk
На календаре было: Среда, 20 Сентября 2006 года, Fr. Br. George писал(а) в сообщении: FBG == Fr. Br. George FBG > Проблема фильтрации зело трудна и запутана есть. На каждый эффективный FBG > способ фильтрации найдётся простой пример невинно отфильтрованного :(. Что да, то да ... И тут очень много зависит от характера почтового трафика отдельно взятой фирмы... Ну и образа мысли админа ... В любом случае, будет работать метод последовательных приближений ... Сперва правила делать средней жесткости, потом медитировать над tail -f /var/log/maillog... Потом ужесточать правила и опять медитировать ... В конце концов остановиться на определенном уровне разумной достаточности... Тут вступает в действие правило вкуса и цвета карандаша... :) А единого рецепта, удовлетворяющего все желания, нет и не будет... Для примера: В моей небольшой сетке на текущий момент по логам: Postfix log summaries for Sep 19 Grand Totals ------------ messages 373 received 377 delivered 0 forwarded 0 deferred 1 bounced 14 rejected (3%) 0 reject warnings 0 held 0 discarded (0%) Как видим, поток спама небольшой ... При этом, пользователи проинструктированы на предмет подписки на различных серверах и так далее ... Кому нужно, завели себе адреса на gmail.com... Кстати, gmail.com - тот еще параноик ... Даже больше, чем я ... :) Так вот... Из 373 принятых писем amavis завернул 4 ... Из них: 2 - явный спам. 1 - заблокировано по расширению файла (.exe$) (Я запретил)... 1 - ошибочно блокировано письмо из нашей рассылки ... Но оно было в корявой кодировке, и я бы его все равно грохнул сам, как нечитабельное... Сам же Postfix режектил 14 писем. Вот лог: message bounce detail (by relay) -------------------------------- mxs.mail.ru[194.67.23.20] (total: 1) 1 user not found (in reply to end of DATA command) message reject detail --------------------- RCPT Helo command rejected: need fully-qualified hostname (total: 2) 1 61.49.187.244 1 201.38.208.163 Recipient address rejected: User unknown in local recipient table (total: 1) 1 dv@orionagro.com.ua blocked using cbl.abuseat.org (total: 4) 2 telesp.net.br 1 rr.com 1 netvision.net.il blocked using dul.dnsbl.sorbs.net (total: 4) 1 cndata.com 1 prod-infinitum.com.mx 1 augustakom.net 1 hinet.net blocked using list.dsbl.org (total: 3) 1 61.17.176.29 1 telesp.net.br 1 ppp83-237-254-84.pppoe.mtu-net.ru Меня устраивает такая статистика :) -- Best regards, Dmitriy L. Kruglikov .--. Dmitriy.Kruglikov_at_orionagro.com.ua |@_@ | DKR6-RIPE |!_/ | ICQ# 13047326 // \ \ XMPP:dkr6@jabber.ru (| | ) /'\_ _/`\ Powered by Linux \___)=(___/ -- Мысль -- Вновь призрак бродит по Европе. Теперь - с протянутой рукой. -- Б.Лесняк
В сообщении от 20 сентября 2006 09:49 Dmitriy L. Kruglikov написал(a):
> Для примера:
> В моей небольшой сетке на текущий момент по логам:
>
> Postfix log summaries for Sep 19
>
> Grand Totals
> ------------
> messages
>
> 373 received
> 377 delivered
> 0 forwarded
> 0 deferred
> 1 bounced
> 14 rejected (3%)
> 0 reject warnings
> 0 held
> 0 discarded (0%)
>
> Как видим, поток спама небольшой ...
А вот для примера отчёт за прошедшие сутки пмоей почтовой системы:
Grand Totals
------------
messages
3649 received
822 delivered
0 forwarded
320 deferred (5261 deferrals)
49 bounced
2641 rejected (76%)
0 reject warnings
0 held
0 discarded (0%)
87855k bytes received
147521k bytes delivered
140 senders
67 sending hosts/domains
152 recipients
55 recipient hosts/domains
--
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
ICQ: 271053845
Шенцев Алексей Владимирович пишет:
> В сообщении от 11 сентября 2006 13:08 Artem Pastukhov написал(a):
>> В сообщении от 11 сентября 2006 13:09 Konstantin. A. Bylym написал(a):
>>> Доброго всем дня.
>>> Не подскажет ли кто, как сделать сабж с одного компьютера на другой? (на
>>> обоих стоит АЛМ24)
> А не посмотреть ли вам в сторону сетевой трансляции звука?
Спасибо. Вроде бы сделал. На станциях запустил nasd. На сервере под
каждым юзером arts'у сказал играть через nas. Пришлось поиграться с
размером буфера. С музыкой проблем не возникло. Но вот с видео.. Если
смотреть xine'ом, звук спотыкается, хотя и идет синхронно с картинкой. В
других плеерах -- звук идет ровно, картинка -- тоже, но последняя
отстает секунды на три..
На календаре было: Среда, 20 Сентября 2006 года, Шенцев Алексей Владимирович писал(а) в сообщении: == Шенцев Алексей Владимирович > А вот для примера отчёт за прошедшие сутки пмоей почтовой системы: > Grand Totals > ------------ > messages > > 3649 received > 822 delivered > 0 forwarded > 320 deferred (5261 deferrals) > 49 bounced > 2641 rejected (76%) Ну, а кому сейчас легко ... Год назад и у меня был аналогичный почтовый трафик ... Просто медитировать придется подольше :) -- Best regards, Dmitriy L. Kruglikov .--. Dmitriy.Kruglikov_at_orionagro.com.ua |@_@ | DKR6-RIPE |!_/ | ICQ# 13047326 // \ \ XMPP:dkr6@jabber.ru (| | ) /'\_ _/`\ Powered by Linux \___)=(___/ -- Мысль -- Лень - сударыня знатная, но голодная. -- Молдавская пословица
В сообщении от 20 сентября 2006 10:10 Dmitriy L. Kruglikov написал(a):
> Ну, а кому сейчас легко ...
> Год назад и у меня был аналогичный почтовый трафик ...
>
> Просто медитировать придется подольше :)
Ага, в первую очередь слесарной линейкой по пальцем юзеров, за подписки на
всякие рассылки ... :)
--
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
ICQ: 271053845
На календаре было: Среда, 20 Сентября 2006 года, Шенцев Алексей Владимирович писал(а) в сообщении: == Шенцев Алексей Владимирович > Ага, в первую очередь слесарной линейкой по пальцем юзеров, за подписки на > всякие рассылки ... :) Да, это называется административные меры... Не путать с системным администрированием, которое относится к техническим мерам... -- Best regards, Dmitriy L. Kruglikov .--. Dmitriy.Kruglikov_at_orionagro.com.ua |@_@ | DKR6-RIPE |!_/ | ICQ# 13047326 // \ \ XMPP:dkr6@jabber.ru (| | ) /'\_ _/`\ Powered by Linux \___)=(___/ -- Мысль -- Вся наука является не чем иным, как усовершенствованием повседневного мышления. -- Эйнштейн
В сообщении от 20 сентября 2006 10:14 Dmitriy L. Kruglikov написал(a): > Да, это называется административные меры... Вне моей юрисдикции ... :) > Не путать с системным администрированием, которое относится к техническим > мерам... Не путаю. Моё дело маленькое подключить к инету, отключить от инета. Если что, вправить мозги юзерам за их пакости ... :) -- С уважением Шенцев Алексей Владимирович. E-mail: ashen@nsrz.ru ICQ: 271053845
На календаре было: Среда, 20 Сентября 2006 года, Шенцев Алексей Владимирович писал(а) в сообщении: == Шенцев Алексей Владимирович > Моё дело маленькое подключить к инету, отключить от инета. Если что, > вправить мозги юзерам за их пакости ... :) И не только ... Проявить разумную инициативу... В случае, когда собственных полномочий недостаточно, информировать руководство фирмы о возможных рисках и предложить пути решения проблемы ... Дать директору линейку и список кандидатов на применение оной ... :) И еще раз напоминаю банальную истину: В деле борьбы с вирусами (и спамом) лучше перебдеть... Как вариант, пользователю, уличенному в злостном нарушении, можно предложить менять пароли не резе 1 раза в 7 дней, а политику стойкости пароля - на свое параноидальное усмотрение... 25-30 символов, Чередование регистров и примесь циферок... Вряд ли ему захочется после этого подписываться на всякие рассылки :) И это не шутка ... Это один из методов отсеивания спама... На полном серьезе... -- Best regards, Dmitriy L. Kruglikov .--. Dmitriy.Kruglikov_at_orionagro.com.ua |@_@ | DKR6-RIPE |!_/ | ICQ# 13047326 // \ \ XMPP:dkr6@jabber.ru (| | ) /'\_ _/`\ Powered by Linux \___)=(___/ -- Мысль -- Высказывание прекрасных и великих идей не уничтожает дурной запах изо рта. -- А.Коряковцев
В сообщении от 20 сентября 2006 11:01 Dmitriy L. Kruglikov написал(a):
> > Моё дело маленькое подключить к инету, отключить от инета. Если что,
> > вправить мозги юзерам за их пакости ... :)
>
> И не только ...
> Проявить разумную инициативу...
> В случае, когда собственных полномочий недостаточно,
> информировать руководство фирмы о возможных рисках
> и предложить пути решения проблемы ...
>
> Дать директору линейку и список кандидатов на применение оной ... :)
>
> И еще раз напоминаю банальную истину:
> В деле борьбы с вирусами (и спамом) лучше перебдеть...
>
> Как вариант, пользователю, уличенному в злостном нарушении,
> можно предложить менять пароли не резе 1 раза в 7 дней,
> а политику стойкости пароля - на свое параноидальное усмотрение...
> 25-30 символов, Чередование регистров и примесь циферок...
>
> Вряд ли ему захочется после этого подписываться на всякие рассылки :)
>
> И это не шутка ...
> Это один из методов отсеивания спама... На полном серьезе...
Всё это я сказал короткой фразой: "моё дело маленькое ... если что - вправить
мози юзерам за их пакости" ... :) Но суть дела это не менят. Согласен, лучше
перебдеть, чем не добдедь. Особенно когда из-за нерадивости юзера в инет
уходит важная финансовая инфа фирмы. И этому много примеров.
--
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
ICQ: 271053845
20 сентября 2006 11:01, Dmitriy L. Kruglikov написал: > И еще раз напоминаю банальную истину: > В деле борьбы с вирусами (и спамом) лучше перебдеть.. Хотелось бы напомнить, что до недавнего времени ни закона о "навязчивой" рекламе, не о рекламе в Интернете не было. Но был (и сеть) "Закон о связи", который _обязывает_ операторов доставлять документы электросвязи от отправителя до получателя. А уж "перебдеть" с подписками пользователя... Это уже, IMHO, паранойя. Это что же такой за "оператор"?! > Это один из методов отсеивания спама... На полном серьезе... Очень жаль, что это - "на серьезе". Видимо, Вы не знаете ни Законодательство, ни что такое судебные претензии. -- ABATAPA
В сообщении от 20 сентября 2006 12:18 ABATAPA написал(a): > Хотелось бы напомнить, что до недавнего времени ни закона о "навязчивой" > рекламе, не о рекламе в Интернете не было. Но был (и сеть) "Закон о связи", > который _обязывает_ операторов доставлять документы электросвязи от > отправителя до получателя. Речь идёт о конечном потребителе. В данном случае о почтовом сервере предприятия, как конечного потребителя. И за трафик поглащаемый почтовым мусором, вирусами, платит конечный пользователь, а не провайдеры, государство. И то, что я приводил статистику работы своего почтаря за сутки, говорит о том, что нам приходит более 70% не нужной информации и платить за это мы не желаем. А вы платите за то, что вам не нужно, но вам навязывают? Если да, до вы милиардер, в чём я сильно сомневаюсь. > А уж "перебдеть" с подписками пользователя... Это уже, IMHO, паранойя. Это > что же такой за "оператор"?! В частном порядке, у себя дома - в перёд и с песней, это ваше личное дело. Но на работе - либо не используйте то, что вам джля работы не нужно, либо оплачивайте расходы предприятия на обслуживания ваших частных и личных нужд. > Очень жаль, что это - "на серьезе". Видимо, Вы не знаете ни > Законодательство, ни что такое судебные претензии. Не путайте поставщика услуг и конечного пользователя. Если не давно, в России, провайдер мог отрубить клиента от инета на то, что с от него сыпется спам и лезут вирусы, и это ставило мощный барьер от этой заразы, то сейчас это запрещено. И теперь ситуация такова, что спасение утопающих, дело рук самих утопающих. -- С уважением Шенцев Алексей Владимирович. E-mail: ashen@nsrz.ru ICQ: 271053845
На календаре было: Среда, 20 Сентября 2006 года, ABATAPA писал(а) в сообщении: A == ABATAPA A > Хотелось бы напомнить, что до недавнего времени ни закона о "навязчивой" A > рекламе, не о рекламе в Интернете не было. Но был (и сеть) "Закон о связи", A > который _обязывает_ операторов доставлять документы электросвязи от A > отправителя до получателя. К сожалению, вы выдрали куски из контекста ... Если говорить о законе, то пусть спамер, от которого сообщение я порежектил, подаст на меня в суд... Будем ржать всем Community ... :) A > А уж "перебдеть" с подписками пользователя... Это уже, IMHO, паранойя. Это что A > же такой за "оператор"?! Я не оператор ... Я сам себе ... Ну а с ложным срабатыванием Amavis я разобрался и уже исправил ... :) Надеюсь, ни кто не в обиде на меня за такую оплошность ? А то я стрелочки переведу... В конфиге Amavis были правила для altlinux.ru, но не было для altlinux.org ... Я добавил, и всё... :) A > > Это один из методов отсеивания спама... На полном серьезе... A > Очень жаль, что это - "на серьезе". Видимо, Вы не знаете ни Законодательство, A > ни что такое судебные претензии. Опять же ... Вы выдираете слова из контекста ... Выражение "На полном серьезе" прозвучало в контексте воспитания пользователей, размещающие свои адреса где попало ... Если у меня на предприятии утверждена корпоративная политика, запрещающие такие действия, или в круг моих полномочий входит препятствование оным, то я буду проводить беседы, а при полной невменяемости, воспитывать... Где тут нарушение Законодательства ? (*шепотом* : Какого государства? ) И опять же, в случае ошибочного блокирования действительно нужного сообщения я разбираюсь в причинах и либо вношу изменения в своих настройках, либо выхожу на связь с удаленной стороной и совместно решаем проблемы там ... До полного удовлетворения... И еще раз повторяю, что если я нарушаю какое-либо уложение законодательства и препятствую доставке сообщения от Отправителя к Получателю, то пусть Отправитель предъявит мне претензии в порядке, установленном Законом. И, даже если нет закона, запрещающего рассылку рекламных материалов, я найду как рассчитать потери рабочего времени на получение и чтение этой корреспонденции, себестоимость этого времени, оплату трафика, износ оборудования и так далее ... И получится из этого Отправителя ежик, в шкурке, вывернутой на изнанку ... :) И вообще, ты чей друг? Мой, или медведя??? (Из анекдота)... И это ... Или хватит, или в курилку ... Да? Технические вопросы вроде как уже обсудили .... :) -- Best regards, Dmitriy L. Kruglikov .--. Dmitriy.Kruglikov_at_orionagro.com.ua |@_@ | DKR6-RIPE |!_/ | ICQ# 13047326 // \ \ XMPP:dkr6@jabber.ru (| | ) /'\_ _/`\ Powered by Linux \___)=(___/ -- Мысль -- Будучи подлецом, - не воображай, что это оригинально -- Горький
On Wed, Sep 20, 2006 at 10:41:19AM +0600, Ildar Mulyukov wrote: > > Как вариант, запустить четыре сквида на разных IP в разных > > vserver или openvz container? > lol! не у одного меня такие бредовые мысли возникают :) А почему бредовые-то? :) -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/
[-- Attachment #1: Type: text/plain, Size: 897 bytes --] В сообщении от 20 сентября 2006 09:04 Konstantin. A. Bylym написал(a): > Шенцев Алексей Владимирович пишет: > > В сообщении от 11 сентября 2006 13:08 Artem Pastukhov написал(a): > >> В сообщении от 11 сентября 2006 13:09 Konstantin. A. Bylym написал(a): > >>> Доброго всем дня. > >>> Не подскажет ли кто, как сделать сабж с одного компьютера на другой? > >>> (на обоих стоит АЛМ24) > > > > А не посмотреть ли вам в сторону сетевой трансляции звука? > > Спасибо. Вроде бы сделал. На станциях запустил nasd. На сервере под > каждым юзером arts'у сказал играть через nas. Пришлось поиграться с > размером буфера. С музыкой проблем не возникло. Но вот с видео.. Если > смотреть xine'ом, звук спотыкается, хотя и идет синхронно с картинкой. В > других плеерах -- звук идет ровно, картинка -- тоже, но последняя > отстает секунды на три.. PulseAudio не пробовали? -- Placebo - Swallow (+ Bonustrack) [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
[-- Attachment #1: Type: text/plain, Size: 124 bytes --] Привет, Всем! А как вам такой способ борьбы со спамом? http://advchk.unixgu.ru/?go=spamresponder -- Placebo - Come Home [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
Igor Zubkov пишет:
> В сообщении от 20 сентября 2006 09:04 Konstantin. A. Bylym написал(a):
>> Шенцев Алексей Владимирович пишет:
>>> В сообщении от 11 сентября 2006 13:08 Artem Pastukhov написал(a):
>>>> В сообщении от 11 сентября 2006 13:09 Konstantin. A. Bylym написал(a):
>>>>> Доброго всем дня.
>>>>> Не подскажет ли кто, как сделать сабж с одного компьютера на другой?
>>>>> (на обоих стоит АЛМ24)
>>> А не посмотреть ли вам в сторону сетевой трансляции звука?
>> Спасибо. Вроде бы сделал. На станциях запустил nasd. На сервере под
>> каждым юзером arts'у сказал играть через nas. Пришлось поиграться с
>> размером буфера. С музыкой проблем не возникло. Но вот с видео.. Если
>> смотреть xine'ом, звук спотыкается, хотя и идет синхронно с картинкой. В
>> других плеерах -- звук идет ровно, картинка -- тоже, но последняя
>> отстает секунды на три..
>
> PulseAudio не пробовали?
>
К сожалению,нет. Дома нет инета :( АЛМ24 стоит Почти чистый. С
бэкпортами от Лафокса.. К Сизифу никак не доберусь...
[-- Attachment #1: Type: text/plain, Size: 439 bytes --] В сообщении от 20 сентября 2006 14:49 Konstantin. A. Bylym написал(a): > > PulseAudio не пробовали? > > К сожалению,нет. Дома нет инета :( АЛМ24 стоит Почти чистый. С > бэкпортами от Лафокса.. К Сизифу никак не доберусь... PulseAudio вроде должен собратся на ALM2.4. Если есть желание могу помочь со сборкой. В принципе, можно и backport'ы сделать. Только для этого мне надо поставить Мастер в openvz. Делать? -- Placebo - 36 Degrees [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
На календаре было: Среда, 20 Сентября 2006 года, Igor Zubkov писал(а) в сообщении: IZ == Igor Zubkov IZ > IZ > А как вам такой способ борьбы со спамом? IZ > IZ > http://advchk.unixgu.ru/?go=spamresponder IZ > Отвечать на спам не интересно, так как: 1) Письмо _уже_ попало в /var/mail/$USER. Потерялся весь кайф борьбы со спамом... 2) У меня, например, письмо лежит на сервере IMAP... По этому работать, вероятно, не будет, или нужно напильником размахивать долго... Но вот как автоответчик использовать можно, наверное :) В некоторые рассылки постить ... Типа "афтар жжот" ... :) Это было мое личное мнение ... :) -- Best regards, Dmitriy L. Kruglikov .--. Dmitriy.Kruglikov_at_orionagro.com.ua |@_@ | DKR6-RIPE |!_/ | ICQ# 13047326 // \ \ XMPP:dkr6@jabber.ru (| | ) /'\_ _/`\ Powered by Linux \___)=(___/ -- Мысль -- Кто унижает самого себя, тот хочет возвыситься. -- Ф.Ницше
Igor Zubkov пишет: > В сообщении от 20 сентября 2006 14:49 Konstantin. A. Bylym написал(a): >>> PulseAudio не пробовали? >> К сожалению,нет. Дома нет инета :( АЛМ24 стоит Почти чистый. С >> бэкпортами от Лафокса.. К Сизифу никак не доберусь... > > PulseAudio вроде должен собратся на ALM2.4. Если есть желание могу помочь со > сборкой. Опыта в сборке у меня еще нет (самое большее, что делал -- это configure;make;make install). Хотя был бы не против и научиться (может ткнете носом в основные положения/термины этого дела) > В принципе, можно и backport'ы сделать. Только для этого мне надо > поставить Мастер в openvz. Делать? Буду премного благодарен
20 сентября 2006 12:33, Шенцев Алексей Владимирович написал: > Не путайте поставщика услуг и конечного пользователя. Да, я как-то думал, что речь шла об операторе (видимо, натолкнуло слово "пользователь", не знаю), и смотрел со своей точки зрения - пользователя. > Если не давно, в России, провайдер мог отрубить клиента от инета на то, > что с от него сыпется спам и лезут вирусы, и это ставило мощный барьер от > этой заразы, то сейчас это запрещено. Всегда было запрещено. Всегда был "Закон о связи", где, в частности, оговаривались обязанности операторов связи, и Гражданский кодекс (наравне с Конституцией РФ), где говорится, что ограничение прав возможно только по решению суда. -- ABATAPA
20 сентября 2006 12:53, Dmitriy L. Kruglikov написал: > К сожалению, вы выдрали куски из контекста ... Да, возможно. Некоторые слова меня натолкнули на мысли, а так как я ISP... > Если говорить о законе, то пусть спамер, от которого сообщение я > порежектил, подаст на меня в суд... > Будем ржать всем Community ... :) Вы, видимо, не знакомы с некоторыми такими прецедентами... > Я не оператор ... Я сам себе ... Я понял. Узвините, изначально понял иначе. Это меняет дело. -- ABATAPA
20 сентября 2006 17:54, ABATAPA написал:
> и смотрел со своей точки зрения - пользователя.
s/пользователя/оператора/
--
ABATAPA
На календаре было: Среда, 20 Сентября 2006 года, ABATAPA писал(а) в сообщении: A == ABATAPA A > Некоторые слова меня натолкнули на мысли, а так как я ISP... A > > Если говорить о законе, то пусть спамер, от которого сообщение я A > > порежектил, подаст на меня в суд... A > > Будем ржать всем Community ... :) A > Вы, видимо, не знакомы с некоторыми такими прецедентами... Было время, работал у ISP ... Если в договоре с клиентом указать явным образом, что за спам и/или вирусы, клиент будет отключен до устранения, то ни каких проблем не будет ... Тут же можно указать, что за рассылку спама он будет жестоко избит, и, возможно, ногами... И то же все будет честно ... :) В том же законе о связи можно найти пункты, если захотеть о действиях, нарушающих работу систем и каналов связи, и классифицировать спам и вирусы как нарушающие ... К сожалению, текст "Закон о связи" РФ я не читал, но, в принципе, смог бы найти юридические закорючки на эту тему, если это действительно нужно :) Например, знаю, что запрещено подключать к телефонной сети общего пользования приборы и устройства, создающие помехи ... Даже если у "железки" просто уровень передачи завышен... Это же вызывает ненормированные наводки... Было бы желание побороться ... :) -- Best regards, Dmitriy L. Kruglikov .--. Dmitriy.Kruglikov_at_orionagro.com.ua |@_@ | DKR6-RIPE |!_/ | ICQ# 13047326 // \ \ XMPP:dkr6@jabber.ru (| | ) /'\_ _/`\ Powered by Linux \___)=(___/ -- Мысль -- Знатоки науки никогда не бывают гордыми; напротив, надутыми от гордости становятся лишь те, кто, не имея способностей развивать науку сами, занимаются популяризацией ее темной истории или же горазды рассказывать все, что сделали другие. -- Лихтенберг
20 сентября 2006 18:15, Dmitriy L. Kruglikov написал: > Если в договоре с клиентом указать явным образом, что за спам и/или вирусы, > клиент будет отключен до устранения, то ни каких проблем не будет ... Вы не знакомы с нормами права, в частности, не знаете, что федеральное законодательство выше договорных обязательств. > Тут же можно указать, что за рассылку спама он будет жестоко избит, > и, возможно, ногами... Опять же - будем это считать неудачной шуткой, потому что от правды это далеко. > И то же все будет честно ... :) Честность - понятие относительное. Но это уже все выходит за рамки тематики. -- ABATAPA
На календаре было: Среда, 20 Сентября 2006 года, ABATAPA писал(а) в сообщении: A == ABATAPA A > Но это уже все выходит за рамки тематики. В принципе, поиск юридической базы для борьбы со СПАМом, может принести положительные результаты, но в силу национальных специфик, это не имеет смысла в данной рассылке.... Согласен. :) -- Best regards, Dmitriy L. Kruglikov .--. Dmitriy.Kruglikov_at_orionagro.com.ua |@_@ | DKR6-RIPE |!_/ | ICQ# 13047326 // \ \ XMPP:dkr6@jabber.ru (| | ) /'\_ _/`\ Powered by Linux \___)=(___/ -- Мысль -- Если ненависть к евреям расценивать как признак истинного христианства, какими превосходными христианами все мы являемся! -- Эразм Роттердамский
В сообщении от 20 сентября 2006 18:26 ABATAPA написал(a):
> 20 сентября 2006 18:15, Dmitriy L. Kruglikov написал:
> > Если в договоре с клиентом указать явным образом, что за спам и/или
> > вирусы, клиент будет отключен до устранения, то ни каких проблем не будет
> > ...
>
> Вы не знакомы с нормами права, в частности, не знаете, что федеральное
> законодательство выше договорных обязательств.
Не скажу как сейчас, но в 2002 году между нами клиентами, как потребителями, и
провайдером, как поставщиком, был составлен договор на предоставление нам
услуг доступа к инету, в котором чётко был указан пункт, гласящий, что за
появление вирусов и спама с нашей стороны, мы будем отключены от инета, до
устранения причины отключения. Данный пункт ссылался на ряд статей законов
РФ. И этот договор просматривал наш юрист, очень опытный спец, и всё его
удовлетворило с точки зрения законов. Сейчас же такой пункт не возможен,
из-за изменения ряда законов. О чём я, как потребитель, сожалею
--
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
ICQ: 271053845
В сообщении от 20 сентября 2006 18:31 Dmitriy L. Kruglikov написал(a):
> На календаре было: Среда, 20 Сентября 2006 года,
> ABATAPA писал(а) в сообщении:
>
> A == ABATAPA
>
> A > Но это уже все выходит за рамки тематики.
> В принципе, поиск юридической базы для борьбы со СПАМом,
> может принести положительные результаты, но в силу национальных специфик,
> это не имеет смысла в данной рассылке....
> Согласен. :)
В РФ есть замечательный закон: "Закон о правах потребителя". И спам с вирусами
можно классифицировать как нарушение прав потребителя. Но всё с этим здесь.
Мы далеко вышли за рамки тематики, с чем я согласен.
--
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
ICQ: 271053845
19 сентября 2006 11:35, Vladimir V. Kamarzin написал:
> DNSBL-и в чистом виде (reject_rbl_client) я перестал использовать потому
> как всецело доверять каждому dnslbl-ю по-отдельности - опасно. Например
> spamcop, в который иногда попадают благонадёжные хосты, но в целом - вполне
> объективный. В общем, весовая оценка тут самое оно, утилита -
> policyd-weight.
Полностью согласен. Очень утомляет общение с операторами-"параноиками"
(вернее, админами), которые порою используют RBL, блокирующие /16 сети из-за
ОДНОГО письма. А с тем, что с зараженной машины пользователя может "уйти"
спам, ничего не поделать.
По моему опыту, львиная доля спама (и вирусов, к слову) "отсеивается" с
помощью greylisting.
--
ABATAPA
[-- Attachment #1: Type: text/plain, Size: 344 bytes --] On Wed, Sep 20, 2006 at 02:38:26PM +0300, Igor Zubkov wrote: > А как вам такой способ борьбы со спамом? > http://advchk.unixgu.ru/?go=spamresponder Автореспондеры -- жлобский и низкий ответ личностей, которые предпочитают поучаствовать в спаме для других, избавляясь от своего. -- и почему я не удивился лицензии на это поделие... [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
On Wed, Sep 20, 2006 at 03:59:50AM +0400, Fr. Br. George wrote: > Проблема фильтрации зело трудна и запутана есть. На каждый > эффективный способ фильтрации найдётся простой пример невинно > отфильтрованного :(. Эт точно. Вообще лучше расспрашивать коллег, которые ходили граблями, чем скоропостижно предпринимать действия. (собственно, поэтому у нас mx принимает почти всё...) -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/
On 20.09.2006 17:12:41, Michael Shigorin wrote: > On Wed, Sep 20, 2006 at 10:41:19AM +0600, Ildar Mulyukov wrote: > > > Как вариант, запустить четыре сквида на разных IP в разных > > > vserver или openvz container? > > lol! не у одного меня такие бредовые мысли возникают :) > > А почему бредовые-то? :) А Вы ещё предложите каскад из этих прокси сделать с одним родителем с БААЛЬШИМ кэшем :) Ильдар -- Ildar Mulyukov, free SW designer/programmer/packager ========================================= email: ildar@altlinux.ru ALT Linux Sisyphus http://www.sisyphus.ru =========================================
On Wed, Sep 20, 2006 at 12:18:36PM +0400, ABATAPA wrote: > > И еще раз напоминаю банальную истину: > > В деле борьбы с вирусами (и спамом) лучше перебдеть.. > Хотелось бы напомнить, что до недавнего времени ни закона о > "навязчивой" рекламе, не о рекламе в Интернете не было. Но был > (и сеть) "Закон о связи", который _обязывает_ операторов > доставлять документы электросвязи от отправителя до получателя. BTW, у нас тут чуть другие законы (нет, diff не делал). > А уж "перебдеть" с подписками пользователя... Это уже, IMHO, > паранойя. Это что же такой за "оператор"?! А я вот задумался. На самом деле как-то возникла другая мысля (не озвучивал?): делается _два_ отдельных mx, на одном заводятся корпоративные юзвери и линейкой по рукам за разбазаривание на форумах, на другом -- "личные" (возможно, другой домен, возможно, поддомен основного; как вариант, ники, а не Имя.Фамилиё). Соответственно на первый почта доходит. А вторым можно, хотя лучше тоже не безумно, рисковать, поскольку фильтры там более злые. Только где ж таких сознательных пользователей брать, чтоб в трёх соснах не путалась большая половина... -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/
On Wed, Sep 20, 2006 at 02:49:02PM +0300, Konstantin. A. Bylym wrote:
> > PulseAudio не пробовали?
> К сожалению,нет. Дома нет инета :( АЛМ24 стоит Почти чистый.
> С бэкпортами от Лафокса.. К Сизифу никак не доберусь...
А на конференции будете? Возможно, там получится организовать
машинку-разливайку с RW, ethernet и wifi.
Как вариант -- могу запустить на сборочный сервер, где можно
быстро дотянуться до пакетов из сизифа и побэкпортить.
Некоторые (drool@ вон) так и делают.
--
conference.osdn.org.ua
On Wed, Sep 20, 2006 at 03:51:16PM +0300, Konstantin. A. Bylym wrote: > > PulseAudio вроде должен собратся на ALM2.4. Если есть желание > > могу помочь со сборкой. > Опыта в сборке у меня еще нет (самое большее, что делал -- это > configure;make;make install). Хотя был бы не против и научиться > (может ткнете носом в основные положения/термины этого дела) http://www.freesource.info/wiki/AltLinux/Razrabotchiku и пойдёмте назад в community@, это уже не админство -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/
On 20.09.2006 17:49:37, Igor Zubkov wrote: > В сообщении от 20 сентября 2006 14:49 Konstantin. A. Bylym написал> > > PulseAudio не пробовали? > > > > К сожалению,нет. Дома нет инета :( АЛМ24 стоит Почти чистый. С > > бэкпортами от Лафокса.. К Сизифу никак не доберусь... > > PulseAudio вроде должен собратся на ALM2.4. Если есть желание могу > помочь со сборкой. В принципе, можно и backport'ы сделать. Только > для этого мне надо поставить Мастер в openvz. Делать? Это ещё зачем? Есть такая штука - хэшер. Натравите его на M2.4 репо и всё будет хорошо. Так обычно бэкпорты и собираются. *************************** Инвестиция в поднятие локального hasher'а многократно окупится в долгосрочной перспективе. -- abulava in devel@ *************************** Ильдар -- Ildar Mulyukov, free SW designer/programmer/packager ========================================= email: ildar@altlinux.ru ALT Linux Sisyphus http://www.sisyphus.ru =========================================
On Thu, Sep 21, 2006 at 11:02:22AM +0600, Ildar Mulyukov wrote:
> > PulseAudio вроде должен собратся на ALM2.4. Если есть желание
> > могу помочь со сборкой. В принципе, можно и backport'ы
> > сделать. Только для этого мне надо поставить Мастер в
> > openvz. Делать?
> Это ещё зачем? Есть такая штука - хэшер. Натравите его на M2.4
> репо и всё будет хорошо. Так обычно бэкпорты и собираются.
Думаю, Айсик в курсе, просто buildreq пока удобнее гонять
в хост-системе (мне, по крайней мере). Которая может быть
контейнером.
--
reply-to
On 21.09.2006 11:12:05, Michael Shigorin wrote: > On Thu, Sep 21, 2006 at 11:02:22AM +0600, Ildar Mulyukov wrote: > > > PulseAudio вроде должен собратся на ALM2.4. Если есть желание > > > могу помочь со сборкой. В принципе, можно и backport'ы > > > сделать. Только для этого мне надо поставить Мастер в > > > openvz. Делать? > > Это ещё зачем? Есть такая штука - хэшер. Натравите его на M2.4 > > репо и всё будет хорошо. Так обычно бэкпорты и собираются. > > Думаю, Айсик в курсе, просто buildreq пока удобнее гонять > в хост-системе (мне, по крайней мере). Которая может быть > контейнером. Ну.. похоже, это дело вкуса. Вкуса, заметно отличного от моего. Мне многообразие пакетов в хост-системе заменяет чтение configure.in. Так оно даже интереснее. Ильдар -- Ildar Mulyukov, free SW designer/programmer/packager ========================================= email: ildar@altlinux.ru ALT Linux Sisyphus http://www.sisyphus.ru =========================================
21.09.06, Michael Shigorin<mike@osdn.org.ua> написал(а):
> On Wed, Sep 20, 2006 at 02:49:02PM +0300, Konstantin. A. Bylym wrote:
> > > PulseAudio не пробовали?
> > К сожалению,нет. Дома нет инета :( АЛМ24 стоит Почти чистый.
> > С бэкпортами от Лафокса.. К Сизифу никак не доберусь...
>
> А на конференции будете? Возможно, там получится организовать
> машинку-разливайку с RW, ethernet и wifi.
RW, ethernet, wifi будет как минимум у меня на ноуте, плюс IDE2USB :)
Было бы что разливать...
--
С уважением,
Евгений Остапец
uin: 23747217
jid: eugene_ostapets@jabber.ru
On Monday 18 September 2006 16:44, Дворников М.В. wrote: > Received: from ppp83-237-1-140.pppoe.mtu-net.ru > (ppp83-237-1-140.pppoe.mtu-net.ru [83.237.1.140]) > Достаточно ясно "кто воровал плюшки". Я, с некоторых пор, в лоб вот такое использую: http://www.kraft-s.ru/dynpolicy.html Ну и средства соответствующие для sendmail. У Postfix оно тоже есть. Опять же greet pause неплохо работает. -- С уважением, Сергей a_s_y@sama.ru
On 2006-09-21 16:09:46 +0500, Sergey wrote: S> On Monday 18 September 2006 16:44, Дворников М.В. wrote: S> > Received: from ppp83-237-1-140.pppoe.mtu-net.ru S> > (ppp83-237-1-140.pppoe.mtu-net.ru [83.237.1.140]) S> > Достаточно ясно "кто воровал плюшки". S> Я, с некоторых пор, в лоб вот такое использую: S> http://www.kraft-s.ru/dynpolicy.html S> Ну и средства соответствующие для sendmail. У Postfix оно тоже S> есть. А можно поподробнее про средства для сендмыла? S> Опять же greet pause неплохо работает. опять же, где почитать :) -- Regards, Alexander
On Thursday 21 September 2006 16:14, Alexander Volkov wrote: > S> Ну и средства соответствующие для sendmail. У Postfix оно тоже > S> есть. > А можно поподробнее про средства для сендмыла? Дык у нас прямо в пакете: * Tue Aug 03 2004 Sergey Y. Afonin <asy@altlinux.ru> 8.13.1-alt1 - New version - add: hack collection from Victor Ustugov (sendmail-cf-8.13-0.4.corvax.tgz, some spam control improvements, see README.corvax) И в mc примеры использования, только раскомментировать и cf собрать. > S> Опять же greet pause неплохо работает. > опять же, где почитать :) В документации на 8.13.x :-) /usr/share/doc/sendmail-doc-8.13.6/README.cf greet_pause Adds the greet_pause ruleset which enables open proxy and SMTP slamming protection. The feature can take an argument specifying the milliseconds to wait: FEATURE(`greet_pause', `5000') dnl 5 seconds If FEATURE(`access_db') is enabled, an access database lookup with the GreetPause tag is done using client hostname, domain, IP address, or subnet to determine the pause time: GreetPause:my.domain 0 GreetPause:example.com 5000 GreetPause:10.1.2 2000 GreetPause:127.0.0.1 0 When using FEATURE(`access_db'), the optional FEATURE(`greet_pause') argument becomes the default if nothing is found in the access database. A ruleset called Local_greet_pause can be used for local modifications, e.g., LOCAL_RULESETS SLocal_greet_pause R$* $: $&{daemon_flags} R$* a $* $# 0 -- С уважением, Сергей a_s_y@sama.ru
On Thursday 21 September 2006 16:31, Sergey wrote:
> - add: hack collection from Victor Ustugov (sendmail-cf-8.13-0.4.corvax.tgz,
> some spam control improvements, see README.corvax)
Еще, кстати, verify_sender использую. Правда есть план и то, и другое
заменить на mailfromd.
--
С уважением, Сергей
a_s_y@sama.ru
On 2006-09-21 16:50:29 +0500, Sergey wrote: S> On Thursday 21 September 2006 16:31, Sergey wrote: S> > - add: hack collection from Victor Ustugov (sendmail-cf-8.13-0.4.corvax.tgz, S> > some spam control improvements, see README.corvax) гм, я его пробегал глазами по диагонали... S> Еще, кстати, verify_sender использую. Правда есть план и то, и другое его уже прикрутил, помогает :) S> заменить на mailfromd. У нас собран? -- Regards, Alexander
On Thursday 21 September 2006 17:07, Alexander Volkov wrote: > S> заменить на mailfromd. > У нас собран? В Сизифе - да, но 1.что-то, 2.0 собрать ещё не успел. То по командировкам, то в отпуске. :-). Сегодня/завтра соберу. Или в субботу. В 2.0 синтаксис конфига стал с 1.x несовместим, правда на уровне добавления одной директивы. -- С уважением, Сергей a_s_y@sama.ru
On Thu, Sep 21, 2006 at 11:50:46AM +0300, Eugene Ostapets wrote: > > > > PulseAudio не пробовали? > > > К сожалению,нет. Дома нет инета :( АЛМ24 стоит Почти чистый. > > > С бэкпортами от Лафокса.. К Сизифу никак не доберусь... > > А на конференции будете? Возможно, там получится > > организовать машинку-разливайку с RW, ethernet и wifi. > RW, ethernet, wifi будет как минимум у меня на ноуте, плюс > IDE2USB :) Было бы что разливать... Двухсотка с исошками и чуток деревьями уже в офисе. Свежевышедшие браузеры/офисы/FC6(?) зальём на неделе перед. PS: ты хочешь сказать, что займёшься локальным bittorrent? :) -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/
Помогите разобраться, пожалуйста. Есть два раздела по 1,4Тб отформатированные в reiserfs и смонтированные с опцией notail. Первый заполнен на 44% ( около 5 миллионов файликов от 10 до 100Кб ). Второй пуст. Копирую файлы с первого раздела на второй. И в процессе копирования второй раздел заполняется на 100%, при том, что с первого ещё не всё скопировалось. Тоесть 612G превращаются более чем в 1,4 Тб. Из-за чего получается такой эфект и как с нм бороться? -- Regards, Sergey,
Michael Shigorin пишет: > On Wed, Sep 20, 2006 at 03:51:16PM +0300, Konstantin. A. Bylym wrote: >>> PulseAudio вроде должен собратся на ALM2.4. Если есть желание >>> могу помочь со сборкой. >> Опыта в сборке у меня еще нет (самое большее, что делал -- это >> configure;make;make install). Хотя был бы не против и научиться >> (может ткнете носом в основные положения/термины этого дела) > > http://www.freesource.info/wiki/AltLinux/Razrabotchiku Пошел читать. Спасибы > и пойдёмте назад в community@, это уже не админство > оки. (по мере возникновения вопросов, ессно) --- С уважением, Константин Былым
Michael Shigorin пишет:
> А на конференции будете? Возможно, там получится организовать
> машинку-разливайку с RW, ethernet и wifi.
:( Нет. Далеко мы от цивилизации..
[-- Attachment #1: Type: text/plain, Size: 937 bytes --] On Птн, 2006-09-22 at 02:49 +0400, rt@aspirinka.net wrote: > Есть два раздела по 1,4Тб отформатированные в reiserfs и смонтированные > с опцией notail. Первый заполнен на 44% ( около 5 миллионов файликов > от 10 до 100Кб ). Второй пуст. Копирую файлы с первого раздела на > второй. И в процессе копирования второй раздел заполняется на 100%, > при том, что с первого ещё не всё скопировалось. Тоесть 612G > превращаются более чем в 1,4 Тб. Из-за чего получается такой эфект и > как с нм бороться? Различный blocksize? Покажите вывод debugreiserfs для обоих разделов. Peter. [-- Attachment #2: This is a digitally signed message part --] [-- Type: application/pgp-signature, Size: 189 bytes --]
On Wed, Sep 20, 2006 at 11:16:41AM +0600, Vladimir V. Kamarzin wrote:
> FBG> Опасная вещь, требует ручной проверки.
> Все веса естесвенно настраиваемые.
Именно. В деле антиспама роботы человека не заменят.
--
George V. Kouryachy (aka Fr. Br. George)
mailto:george at altlinux_ru
On Wed, Sep 20, 2006 at 06:52:39PM +0400, ABATAPA wrote:
> По моему опыту, львиная доля спама (и вирусов, к слову) "отсеивается" с
> помощью greylisting.
Разумеется, при этом либо нельзя использовать backup MX, либо надо
настроить упреждающую синхронизацию серых списков между MX-ами одного
домена (сначала обновлять серые списки на MX-ах, а потом только выдавать
400-ю ошибку, то же самое и при повторном соединении).
А каким способом вы обрабатываете почту, идущую с почтовых кластеров?
Обычная фишка кластера -- после 400-й ошибки повторно переслать письмо с
другого IP. Народ держит специальные белые списки... которые вечно
пополнять приходится.
--
George V. Kouryachy (aka Fr. Br. George)
mailto:george at altlinux_ru
On Wed, Sep 20, 2006 at 10:10:43AM +0400, Шенцев Алексей Владимирович wrote:
> Ага, в первую очередь слесарной линейкой по пальцем юзеров, за подписки на
> всякие рассылки ... :)
Да ради бога, неужели вы думаете, что "всякие рассылки" -- главный или
даже единственный путь пополнения почтовых баз?? Так было лет пять. не
то десять назад. Нынче это -- бизнес, работающие адреса добываются всеми
доступными способами. В частности, если вы один раз написали письмо
приятелю, а он использует аутглюк экспресс и один раз подхватил дрона --
вы уже попали. Плюс скан (ваш сервер выдаёт unknown recipient или молча
пожирает все письма без ошибок?). Плюс веб-серфинг, включая анализ
всех известных способов превращения "неправильных" mailto: в правильные.
Плюс тихий взлом провайдерских баз, а то и прямая продажа.
--
George V. Kouryachy (aka Fr. Br. George)
mailto:george at altlinux_ru
On Thu, Sep 21, 2006 at 04:09:46PM +0500, Sergey wrote: > Я, с некоторых пор, в лоб вот такое использую: > http://www.kraft-s.ru/dynpolicy.html <cite> В случае невозможности выполнить пункты 1 или 2 Ваш IP может быть добавлен в список исключений по Вашему запросу. </cite> Ноты другие, песня та же: требуется ручная настройка. Типичный пример -- массовые хостеры, которые тысячами выдают back-resolve вида 12-34-56-78.masshoster.com и из-за какого-то русского не станут менять backresolve клиента на его домен. RFC2317, похоже, не читает никто и никогда. Или вот такие вполне честные ребята-MXы: mail-hub.dyn.optonline.net mail-relay.dyn.optonline.net smtp.dsl.net.pk pop3.adsl-now.co.uk ... Имя им легион :(. Я использую milter-regex (более продвинутый вариант той же идеи). И поступаю строго наоборот: имея с десяток подобных шаблонов, загоняю соответствующее доменное имя в чёрный список по факту получения спама оттуда. Итого: если на проштрафившемся домене всё же имеется вменяемый MX, он не залистится по "шаблону подозрительности", и почта примется, а с "подозрительных" доменов, которые ещё не разу мне спам не присылали, я почту принимаю. Впрочем, я заношу в чёрные списки все "подозрительные" домены, если они вообще не резолвятся (NXDOMAIN) или не имеют ни оодной значимой записи (пустая строка на host домен). И вот этих у меня уже прилично. > Опять же greet pause неплохо работает. Это да. Только приводит к резкому увеличению колчества TCP-соединений. Вплоть до 430 ошибки. -- George V. Kouryachy (aka Fr. Br. George) mailto:george at altlinux_ru
On Friday 22 September 2006 18:52, Fr. Br. George wrote:
> Плюс скан (ваш сервер выдаёт unknown recipient или молча
> пожирает все письма без ошибок?).
А как надо (это вопрос на засыпку) ?
--
С уважением, Сергей
a_s_y@sama.ru
On Friday 22 September 2006 19:19, Fr. Br. George wrote: > Ноты другие, песня та же: требуется ручная настройка. Типичный пример > -- массовые хостеры, которые тысячами выдают back-resolve вида > 12-34-56-78.masshoster.com и из-за какого-то русского не станут > менять backresolve клиента на его домен. Вообще-то это проблема их клиента. Если ему надо, он закажет у них соответствующую услугу. > RFC2317, похоже, не читает никто и никогда. Это да, я тоже не часто вижу, чтобы этим пользовались. > Или вот такие вполне честные ребята-MXы: > mail-hub.dyn.optonline.net > mail-relay.dyn.optonline.net > smtp.dsl.net.pk > pop3.adsl-now.co.uk > ... > Имя им легион :(. Не такой уж и легион. У меня исключений за пару лет десятка два накопилось вего лишь, а сообщений по этим признакам режется вагон. Оно того стоит. > Я использую milter-regex (более продвинутый вариант той же идеи). Да, смотрел я его, но, правда, с точки зрения фильтрации по содержимому. Только вот русский он не понимал. Сейчас понимает ? > И поступаю строго наоборот: имея с десяток подобных шаблонов, загоняю > соответствующее доменное имя в чёрный список по факту получения спама > оттуда. Список должен сильно большим получиться, как мне кажется. Хотя от специфики сервера зависит. -- С уважением, Сергей a_s_y@sama.ru PS: эх, зря mta mark похоронили... :-(
On Friday 22 September 2006 19:44, Sergey wrote:
> Не такой уж и легион. У меня исключений за пару лет десятка два накопилось
> вего лишь, а сообщений по этим признакам режется вагон. Оно того стоит.
Вот, как раз:
Received: from 227.Red-88-16-253.dynamicIP.rima-tde.net (227.Red-88-16-253.dynamicIP.rima-tde.net [88.16.253.227])
by master.altlinux.org (Postfix) with SMTP id A16B5E4491
Может это, сделать на master.altlinux.org такую проверку ?
--
С уважением, Сергей
a_s_y@sama.ru
Sergey wrote:
> On Friday 22 September 2006 18:52, Fr. Br. George wrote:
>
>> Плюс скан (ваш сервер выдаёт unknown recipient или молча
>> пожирает все письма без ошибок?).
>
> А как надо (это вопрос на засыпку) ?
Так, как делает оригинальный qmail без патчей, добавляющих проверку на
возможность доставки по адресам, перечисленным в RCPT TO, - молча
принимать письмо, а потом слать bounce вида "This address no longer
accepts mail".
Правда, от этого в очереди типичного qmail'а много bounce сообщений,
которые, понятно, доставлять некому, в ответ таким вот сканерам :-(
BTW, а postfix можно так настроить? Бог с ними, с bounce'ами, - переживу.
--
// AB1002-UANIC
On Friday 22 September 2006 19:52, Andrei Bulava wrote: > > А как надо (это вопрос на засыпку) ? > > Так, как делает оригинальный qmail без патчей, добавляющих проверку на > возможность доставки по адресам, перечисленным в RCPT TO, - молча > принимать письмо, а потом слать bounce вида "This address no longer > accepts mail". Ага, это вот тот вариант, за который я автору qmail оторвал бы всё, что можно. > Правда, от этого в очереди типичного qmail'а много bounce сообщений, > которые, понятно, доставлять некому, в ответ таким вот сканерам :-( > > BTW, а postfix можно так настроить? Бог с ними, с bounce'ами, - переживу. Можно, но очень не нужно. -- С уважением, Сергей a_s_y@sama.ru
22 сентября 2006 17:23, Fr. Br. George написал:
> А каким способом вы обрабатываете почту, идущую с почтовых кластеров?
> Обычная фишка кластера -- после 400-й ошибки повторно переслать письмо с
> другого IP. Народ держит специальные белые списки... которые вечно
> пополнять приходится.
Достаточно использовать:
# Specify the netmask to be used when checking IPv4 addresses
# in the greylist.
# May be overridden by the "-L cidrmask" command line argument.
subnetmatch /24
--
ABATAPA
On 2006-09-22 19:49:59 +0500, Sergey wrote: S> On Friday 22 September 2006 19:44, Sergey wrote: S> > Не такой уж и легион. У меня исключений за пару лет десятка два накопилось S> > вего лишь, а сообщений по этим признакам режется вагон. Оно того стоит. S> Вот, как раз: S> Received: from 227.Red-88-16-253.dynamicIP.rima-tde.net (227.Red-88-16-253.dynamicIP.rima-tde.net [88.16.253.227]) S> by master.altlinux.org (Postfix) with SMTP id A16B5E4491 S> Может это, сделать на master.altlinux.org такую проверку ? +1 -- Regards, Alexander
Sergey wrote: > On Friday 22 September 2006 19:52, Andrei Bulava wrote: > >>> А как надо (это вопрос на засыпку) ? >> Так, как делает оригинальный qmail без патчей, добавляющих проверку на >> возможность доставки по адресам, перечисленным в RCPT TO, - молча >> принимать письмо, а потом слать bounce вида "This address no longer >> accepts mail". > > Ага, это вот тот вариант, за который я автору qmail оторвал бы всё, что > можно. Сначала я думал то же самое, пока не узнал о сканерах. >> Правда, от этого в очереди типичного qmail'а много bounce сообщений, >> которые, понятно, доставлять некому, в ответ таким вот сканерам :-( >> >> BTW, а postfix можно так настроить? Бог с ними, с bounce'ами, - переживу. > > Можно, но очень не нужно. См. выше - это мера против сканеров. Конечно, можно полагаться только на greylisting... Но что-то мне подсказывает, что сканеры могут позволить себе второй заход, т.к. сканирование - существенно менее ресурсоемкий процесс, чем рассылка спама. -- // AB1002-UANIC
On Fri, Sep 22, 2006 at 09:54:34PM +0400, ABATAPA wrote:
> 22 сентября 2006 17:23, Fr. Br. George написал:
> > А каким способом вы обрабатываете почту, идущую с почтовых кластеров?
> > Обычная фишка кластера -- после 400-й ошибки повторно переслать письмо с
> > другого IP. Народ держит специальные белые списки... которые вечно
> > пополнять приходится.
> Достаточно использовать subnetmatch /24
Разумно, всё равно вероятность двойного события (backup relay и спамер в
одной сети с relay) весьма низкая. Это какая софтина?
--
George V. Kouryachy (aka Fr. Br. George)
mailto:george at altlinux_ru
On Fri, Sep 22, 2006 at 05:52:24PM +0300, Andrei Bulava wrote:
> Sergey wrote:
> > On Friday 22 September 2006 18:52, Fr. Br. George wrote:
> >
> >> Плюс скан (ваш сервер выдаёт unknown recipient или молча
> >> пожирает все письма без ошибок?).
> >
> > А как надо (это вопрос на засыпку) ?
>
> Так, как делает оригинальный qmail без патчей, добавляющих проверку на
> возможность доставки по адресам, перечисленным в RCPT TO, - молча
> принимать письмо, а потом слать bounce вида "This address no longer
> accepts mail".
>
> Правда, от этого в очереди типичного qmail'а много bounce сообщений,
> которые, понятно, доставлять некому, в ответ таким вот сканерам :-(
От этого в одном только моём ящике по нескольку писем в день с такими вот
обратками приходило. Чем не спам? На просьбы так не делать
администраторы различных мудрых серверов не реагировали. Вот зачем нужны
локальные чёрные списки.
--
George V. Kouryachy (aka Fr. Br. George)
mailto:george at altlinux_ru
On Fri, Sep 22, 2006 at 07:32:32PM +0500, Sergey wrote:
> On Friday 22 September 2006 18:52, Fr. Br. George wrote:
>
> > Плюс скан (ваш сервер выдаёт unknown recipient или молча
> > пожирает все письма без ошибок?).
>
> А как надо (это вопрос на засыпку) ?
Как надо что?
--
George V. Kouryachy (aka Fr. Br. George)
mailto:george at altlinux_ru
On Fri, Sep 22, 2006 at 07:44:18PM +0500, Sergey wrote: > > Ноты другие, песня та же: требуется ручная настройка. Типичный пример > > -- массовые хостеры, которые тысячами выдают back-resolve вида > > 12-34-56-78.masshoster.com и из-за какого-то русского не станут > > менять backresolve клиента на его домен. > Вообще-то это проблема их клиента. Если ему надо, он закажет у них > соответствующую услугу. Как правило, это либо несравнимо дорого (на массовом хостере), либо этой услуги вообще нет (на бомжеватом). И почти всегда хостер отвечает: "Это проблема вашего корреспондента, мы RFC не нарушаем пускай выключает свои фашистские фильтры". > Не такой уж и легион. У меня исключений за пару лет десятка два накопилось > вего лишь, а сообщений по этим признакам режется вагон. Оно того стоит. Ну так речь шла только о том, что ручное администрирование требуется. А так, разумеется, стоит. > > Я использую milter-regex (более продвинутый вариант той же идеи). > Да, смотрел я его, но, правда, с точки зрения фильтрации по содержимому. По содержимому SA не имеет равных. > Только вот русский он не понимал. Сейчас понимает ? Русский в какой кодировке? (Это не вопрос, а ответ:). > > И поступаю строго наоборот: имея с десяток подобных шаблонов, загоняю > > соответствующее доменное имя в чёрный список по факту получения спама > > оттуда. > Список должен сильно большим получиться, как мне кажется. Хотя от специфики > сервера зависит. Пока килобайтов шесть. Сервер ф-та ВМиК МГУ, http://imap.cs.msu.su. Надо сказать, по мусорности почтового трафика -- чемпион среди знакомых мне сервров. Студенты, там, старушки-преподавательницы... нескучно. -- George V. Kouryachy (aka Fr. Br. George) mailto:george at altlinux_ru
On Fri, Sep 22, 2006 at 07:49:59PM +0500, Sergey wrote:
> On Friday 22 September 2006 19:44, Sergey wrote:
>
> > Не такой уж и легион. У меня исключений за пару лет десятка два накопилось
> > вего лишь, а сообщений по этим признакам режется вагон. Оно того стоит.
>
> Вот, как раз:
>
> Received: from 227.Red-88-16-253.dynamicIP.rima-tde.net (227.Red-88-16-253.dynamicIP.rima-tde.net [88.16.253.227])
> by master.altlinux.org (Postfix) with SMTP id A16B5E4491
Rema-tde -- ПОЛНЫЕ отморозки. Это как раз они раздают громадные
пространства и _не_ имеют вменяемой услуги back resolve DNS.
Хрен с ним, с dynamicIP.rima-tde.net -- это DIP, с него по RFC можно
почту не принимать. Но и staticIP.rima-tde.net в моих списках -- десятки
сетей :(.
--
George V. Kouryachy (aka Fr. Br. George)
mailto:george at altlinux_ru
>>>>> On 26 Sep 2006 at 00:30 "FBG" == Fr Br George writes: >> > А каким способом вы обрабатываете почту, идущую с почтовых кластеров? >> > Обычная фишка кластера -- после 400-й ошибки повторно переслать письмо с >> > другого IP. Народ держит специальные белые списки... которые вечно >> > пополнять приходится. >> Достаточно использовать subnetmatch /24 FBG> Разумно, всё равно вероятность двойного события (backup relay и спамер в FBG> одной сети с relay) весьма низкая. Это какая софтина? Да практически любой greylisting-демон так умеет. В т.ч. postgrey. -- vvk
On Monday 25 September 2006 11:42, Andrei Bulava wrote: > > Ага, это вот тот вариант, за который я автору qmail оторвал бы всё, что > > можно. > > Сначала я думал то же самое, пока не узнал о сканерах. Спецэффекты от этого перевешиваю данный небольшой плюс. 1. О своей рубашке - будешь мешать работе smtp callback :-) 2. Учитывая, что smtp callback уже достаточно распространён, спамерам приходится подставлять обратные E-Mail, которые этой проверке удовлетворяют. Стало быть, домен, сервер которого принимает любую почту с адресатом вида bla-bla-bla@example.dom, весьма хорош для выбора домена отправителя. Огребёшь кучу боунсов. (если по этому пункту есть, что добавить, то лучше лично, а не в рассылку) 3. допустим, на сервер example.dom посыпался спам несуществующему пользователю (ну или ящик переполнен и т.д.). Георгий по этому поводу высказался. Добавлю теперь ещё минус для самого сервера. Если mail from там будет не реальный, а левый, да ещё с неотвечающим сервером, то боунсы создадут очередь. В зависимости от потока мусора может выйти несколько десятков, а то и сотен тысяч сообщений. 4. Просто сам по себе приём сообщения - лишний входящий трафик. Не знаю, где как, а у нас он денег стоит. > См. выше - это мера против сканеров. А мера эта никакая, если уж так подумать... Пишется письмо со списком получателей, может быть не одно, если есть ограничение. Заводится где-нибудь халявный ящик, группа писем отсылается с этим mail from, собираются боунсы и анализируются. -- С уважением, Сергей a_s_y@sama.ru
On Monday 25 September 2006 23:52, Fr. Br. George wrote:
> это DIP, с него по RFC можно почту не принимать.
Даже так ? Что-то не попадалось, а дополнительным аргументом это
неплохо упоминать... Номер бы.
--
С уважением, Сергей
a_s_y@sama.ru
Sergey wrote: > On Monday 25 September 2006 11:42, Andrei Bulava wrote: > >>> Ага, это вот тот вариант, за который я автору qmail оторвал бы всё, что >>> можно. >> Сначала я думал то же самое, пока не узнал о сканерах. > > Спецэффекты от этого перевешиваю данный небольшой плюс. > > 1. О своей рубашке - будешь мешать работе smtp callback :-) > > 2. Учитывая, что smtp callback уже достаточно распространён, спамерам > приходится подставлять обратные E-Mail, которые этой проверке > удовлетворяют. Стало быть, домен, сервер которого принимает любую > почту с адресатом вида bla-bla-bla@example.dom, весьма хорош для > выбора домена отправителя. Огребёшь кучу боунсов. > (если по этому пункту есть, что добавить, то лучше лично, а не в рассылку) Зачем же лично? Пусть все знают побочные эффекты использования smtp callback. Например, следование http://www.rfc-ignorant.org/policy-postmaster.php уж точно гарантирует, что в домене example.dom есть почтовый ящик postmaster. Спамеру достаточно поставить такой добропорядочный адрес в MAIL FROM. > 3. допустим, на сервер example.dom посыпался спам несуществующему пользователю > (ну или ящик переполнен и т.д.). Георгий по этому поводу высказался. Добавлю > теперь ещё минус для самого сервера. Если mail from там будет не реальный, > а левый, да ещё с неотвечающим сервером, то боунсы создадут очередь. В > зависимости от потока мусора может выйти несколько десятков, а то и сотен > тысяч сообщений. Я в курсе. Зачем мне это говорить так, будто я - D.J. Bernstein? ;-) > 4. Просто сам по себе приём сообщения - лишний входящий трафик. Не знаю, где > как, а у нас он денег стоит. Он везде денег стоит. Но одно прирезанное легальное письмо обходится дороже, чем трафик от тысячи писем со спамом :-\ >> См. выше - это мера против сканеров. > > А мера эта никакая, если уж так подумать... Пишется письмо со списком получателей, > может быть не одно, если есть ограничение. Заводится где-нибудь халявный ящик, > группа писем отсылается с этим mail from, собираются боунсы и анализируются. Раз уж про "никаковость" мер... Про анонимные одноразовые платёжные карты VISA знаете? Читали спам, который внутри содержит URL в бредового вида доменах? Не сомневайтесь, smtp callback и SPF для таких одноразовых доменов работают нормально. -- // AB1002-UANIC
Andrei Bulava wrote: > Зачем же лично? Пусть все знают побочные эффекты использования smtp > callback. Не так много. Что режется: хитрый веб-сгенеренный или рассылочный адрес? (есть возможность исключений) Грейлистинг/blacklisting, за дерганье удаленного smtp? (есть кэширование) Отлуп отправителя <>? (хотя должны принимать, можно <имя отправителя> другое использовать и ответный callback получить) > Например, следование > http://www.rfc-ignorant.org/policy-postmaster.php уж точно гарантирует, > что в домене example.dom есть почтовый ящик postmaster. Спамеру > достаточно поставить такой добропорядочный адрес в MAIL FROM. smtp callout не панацея от спама, а одна из мер. Механизм есть и его использование - дело постмастера и почтовой политики на предприятии. >> 4. Просто сам по себе приём сообщения - лишний входящий трафик. Не знаю, где >> как, а у нас он денег стоит. > > Он везде денег стоит. Но одно прирезанное легальное письмо обходится > дороже, чем трафик от тысячи писем со спамом :-\ Здоровье почтовой системы не менее важно. Принимать все грозит распуханием очереди, нагрузкой и вытекающими проблемами. Адаптивной почтовой системе грозят ложные срабатывания, увы. >> А мера эта никакая, если уж так подумать... Пишется письмо со списком получателей, >> может быть не одно, если есть ограничение. Заводится где-нибудь халявный ящик, >> группа писем отсылается с этим mail from, собираются боунсы и анализируются. > > Раз уж про "никаковость" мер... Про анонимные одноразовые платёжные > карты VISA знаете? Читали спам, который внутри содержит URL в бредового > вида доменах? Не сомневайтесь, smtp callback и SPF для таких одноразовых > доменов работают нормально. Контент сканинг? -- Anton Kvashin
On Thursday 28 September 2006 14:20, Andrei Bulava wrote: > > (если по этому пункту есть, что добавить, то лучше лично, а не в рассылку) > > Зачем же лично? Блин, да затем, что список рассылки открытый. > Пусть все знают побочные эффекты использования smtp > callback. И спамеры в том числе. Зачем внимание акцентировать на то, что ещё не используется ? Молодец, в общем. > достаточно поставить такой добропорядочный адрес в MAIL FROM. Есть минус. При определённом потоке спама туда могут возникнуть правильные вопросы в правильные места, в отличи от ящика Васи Пупкина, который кнопку Пуск с трудом находит. > > 4. Просто сам по себе приём сообщения - лишний входящий трафик. Не знаю, где > > как, а у нас он денег стоит. > > Он везде денег стоит. Но одно прирезанное легальное письмо обходится > дороже, чем трафик от тысячи писем со спамом :-\ А не надо письма бесследно убивать. Отправитель всегда должен знать результат. Тогда, в зависимости от ситуации, он сможет принять меры. -- С уважением, Сергей a_s_y@sama.ru
On Thu, Sep 28, 2006 at 02:25:43AM +0500, Sergey wrote:
> On Monday 25 September 2006 23:52, Fr. Br. George wrote:
>
> > это DIP, с него по RFC можно почту не принимать.
>
> Даже так ? Что-то не попадалось, а дополнительным аргументом это
> неплохо упоминать... Номер бы.
Увы, соврал :(. В IETF висел драфт -- draft-irtf-asrg-dnsbl, но он
просрочился этой весной. Теперь опять ничего нет. Мудрят чего-то там в ASRG.
--
George V. Kouryachy (aka Fr. Br. George)
mailto:george at altlinux_ru
On Thursday 28 September 2006 23:59, Fr. Br. George wrote: > > Даже так ? Что-то не попадалось, а дополнительным аргументом это > > неплохо упоминать... Номер бы. > Увы, соврал :(. В IETF висел драфт -- draft-irtf-asrg-dnsbl, но он > просрочился этой весной. Теперь опять ничего нет. Мудрят чего-то там в ASRG. А... Там ещё замечательный драфт был про mta mark... Тоже умерло. :-( -- С уважением, Сергей a_s_y@sama.ru
Здравствуйте! У меня на сервере резко возрос трафик исходящих писем, и началось с таких писем [1], и очередь deffered postfix резко возросла. Такое чувство что кто-то спамит через сервер. На сервере стоит много php скриптов. Как вычислить что за скрипт спамит? И как лучше это предотвратить? Спасибо! [1] Transcript of session follows. Out: 220 aaa.ru mail server In: EHLO mx.uol.com.br Out: 250-mail.aaa.ru Out: 250-PIPELINING Out: 250-SIZE 10240000 Out: 250-VRFY Out: 250-ETRN Out: 250-STARTTLS Out: 250-AUTH LOGIN PLAIN Out: 250-AUTH=LOGIN PLAIN Out: 250 8BITMIME In: MAIL FROM:<> SIZE=9394 BODY=8BITMIME Out: 250 Ok In: RCPT TO:<www-data@aaa.ru> Out: 451 <www-data@anastasia.ru>: Temporary lookup failure In: DATA Out: 554 Error: no valid recipients In: RSET Out: 250 Ok In: QUIT Out: 221 Bye -- Всего наилучшего! Григорий greg [at] anastasia [dot] ru Письмо отправлено: 2006/10/05 13:25
On Thursday 05 October 2006 14:34, Grigory Fateyev wrote: > Как вычислить что за скрипт спамит? И как лучше это > предотвратить? подменить sendmail на что-то вроде #!/usr/bin/perl use Env; my $date = `export LANG=C && date`; chomp $date; my $uid = $>; my @info = getpwuid($uid); system "logger -i -t spamcontrol '$date\: Directory\: $PWD\, info\: @info\, args\: @ARGV'"; my $mailprog = '/usr/sbin/sendmail.bla-bla-bla'; foreach (@ARGV) { $arg="$arg" . " $_"; } open (MAIL,"|$mailprog $arg") || die "cannot open $mailprog: $!n"; print MAIL "X-Abuse-MTA-Caller-Dir: running from $PWD\n"; print MAIL "X-Abuse-To:"; while (<STDIN>) { print MAIL; } close (MAIL); и на www.dedic.ru посмотреть примерно то же самое для php. Только оно что-то не открывается. Вот ещё: http://www.lancs.ac.uk/~steveb/patches/php-mail-header-patch/ -- С уважением, Сергей a_s_y@sama.ru
On Thursday 05 October 2006 15:45, Sergey wrote:
> my $mailprog = '/usr/sbin/sendmail.bla-bla-bla';
Кстати о птицах. Вот это слабое место знет кто-нибудь, как побороть ?
На скрипте права должны быть 755, значит можно узнать настоящее имя
mailprog... У Постфикса, кстати, нет возможности в конфиге где-нибудь
про это сказать, чтобы дописал ?
--
С уважением, Сергей
a_s_y@sama.ru
Hello Sergey! On Thu, 5 Oct 2006 15:45:21 +0500 you wrote: > On Thursday 05 October 2006 14:34, Grigory Fateyev wrote: > > > Как вычислить что за скрипт спамит? И как лучше это > > предотвратить? > > подменить sendmail на что-то вроде Это подсунуть этот файл вместо sendmail? > > my $mailprog = '/usr/sbin/sendmail.bla-bla-bla'; А здесь прописать путь до реального sendmail? > > и на www.dedic.ru посмотреть примерно то же самое для php. Только оно > что-то не открывается. И правда не открывается :( > Вот ещё: > http://www.lancs.ac.uk/~steveb/patches/php-mail-header-patch/ Надо наверно это и сделать ... А вообще как этот скрипт работает? Извините за тупые вопросы, но просто сервер боевой, экспериментов боюсь. -- Всего наилучшего! Григорий greg [at] anastasia [dot] ru Письмо отправлено: 2006/10/05 15:16
On Thursday 05 October 2006 16:21, Grigory Fateyev wrote: > > подменить sendmail на что-то вроде > Это подсунуть этот файл вместо sendmail? Да. > > my $mailprog = '/usr/sbin/sendmail.bla-bla-bla'; > А здесь прописать путь до реального sendmail? Да. > А вообще как этот скрипт работает? Просто перехватывает вызов sendmail с командной строки, добавляет свои строчки и скармливает настоящему sendmail. Но это именно для тех, кто через вызов sendmail пытается послать. На PHP-шные функции оно не влияет. Для PHP - то, что по ссылке. -- С уважением, Сергей a_s_y@sama.ru
Hello Sergey!
On Thu, 5 Oct 2006 16:51:33 +0500 you wrote:
> Но это именно для тех, кто через вызов sendmail пытается послать.
> На PHP-шные функции оно не влияет. Для PHP - то, что по ссылке.
Вот пересобрал php4 с патчем, поставил, а как теперь письмо спамерское
перехватить чтоб заголовки посмотреть?
--
Всего наилучшего! Григорий
greg [at] anastasia [dot] ru
Письмо отправлено: 2006/10/05 19:31
On Thursday 05 October 2006 20:32, Grigory Fateyev wrote:
> > Но это именно для тех, кто через вызов sendmail пытается послать.
> > На PHP-шные функции оно не влияет. Для PHP - то, что по ссылке.
>
> Вот пересобрал php4 с патчем, поставил, а как теперь письмо спамерское
> перехватить чтоб заголовки посмотреть?
Теперь жалобы ждать. Или очередь сообщений анализировать. Можно копии
боунсов на постмастера зарулить (не знаю, как постфикс, а настоящий
sendmail умеет) и их смотреть - наверняка недоставленные через 4-5 часов
посыпятся.
--
С уважением, Сергей
a_s_y@sama.ru
В сообщении от 6 октября 2006 12:40 Alexey Sidorov написал(a):
> Есть несколько локалок, ходят в инет через НАТ
> На шлюзе стоит squid
> Посоветуйте пожалуйста, чем можно считать траффик по
> компам/протоколам/сетям?
> сквидовский траффик я считаю по логам
> юзал pmacct с последующей обработкой PHP (единственный язык, который
> знаю. скрипты делал сам), но может есть более простое решение...
Если для squid'а, то SARG, lightsquid, sams.
--
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
ICQ: 271053845
Есть несколько локалок, ходят в инет через НАТ На шлюзе стоит squid Посоветуйте пожалуйста, чем можно считать траффик по компам/протоколам/сетям? сквидовский траффик я считаю по логам юзал pmacct с последующей обработкой PHP (единственный язык, который знаю. скрипты делал сам), но может есть более простое решение...
В сообщении от 6 октября 2006 12:46 Alexey Sidorov написал(a):
> Нет, для squid'а то я нормально считаю.
> Нужен именно весь траффик (и сквидовский в том числе)
netams ?
--
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
ICQ: 271053845
Шенцев Алексей Владимирович пишет:
> В сообщении от 6 октября 2006 12:40 Alexey Sidorov написал(a):
>
>> Есть несколько локалок, ходят в инет через НАТ
>> На шлюзе стоит squid
>> Посоветуйте пожалуйста, чем можно считать траффик по
>> компам/протоколам/сетям?
>> сквидовский траффик я считаю по логам
>> юзал pmacct с последующей обработкой PHP (единственный язык, который
>> знаю. скрипты делал сам), но может есть более простое решение...
>>
> Если для squid'а, то SARG, lightsquid, sams.
>
Нет, для squid'а то я нормально считаю.
Нужен именно весь траффик (и сквидовский в том числе)
Шенцев Алексей Владимирович пишет:
> В сообщении от 6 октября 2006 12:46 Alexey Sidorov написал(a):
>
>> Нет, для squid'а то я нормально считаю.
>> Нужен именно весь траффик (и сквидовский в том числе)
>>
> netams ?
>
А насколько он стабилен?
Применительно к sisyphus
В сообщении от 6 октября 2006 14:08 Olaf Portvineson написал(a):
> А альтернатива netams'у есть? Что-то больно он мне не понравился.
Кто бы мне самому подсказал про альтернативу netams'у, так что бы и БД ложил
сведения и отчёты генерил в html, страницах ...
--
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
ICQ: 271053845
> В сообщении от 6 октября 2006 12:46 Alexey Sidorov написал(a):
> > Нет, для squid'а то я нормально считаю.
> > Нужен именно весь траффик (и сквидовский в том числе)
> netams ?
А альтернатива netams'у есть? Что-то больно он мне не понравился.
--
WBR,
CyberSkunk aka dRuNk Ph!ZiK
Шенцев Алексей Владимирович пишет:
> В сообщении от 6 октября 2006 14:08 Olaf Portvineson написал(a):
>
>> А альтернатива netams'у есть? Что-то больно он мне не понравился.
>>
> Кто бы мне самому подсказал про альтернативу netams'у, так что бы и БД ложил
> сведения и отчёты генерил в html, страницах ...
>
Мне например лишь-бы ложил в базу
Генерилку отчетов я уж сам лучше напишу....
> Мне например лишь-бы ложил в базу
> Генерилку отчетов я уж сам лучше напишу....
ulog-acctd
как вариант, более функциональный ulogd, но, по словам автора, "not
optimized in any way" ;)
--
С уважением, Прокопьев Евгений
Eugene Prokopiev пишет:
>> Мне например лишь-бы ложил в базу
>> Генерилку отчетов я уж сам лучше напишу....
>>
>
> ulog-acctd
>
> как вариант, более функциональный ulogd, но, по словам автора, "not
> optimized in any way" ;
Мне кажется буду всё-таки колдовать с pmacct...
Алексей Сидоров пишет:
> Eugene Prokopiev пишет:
>
>>>Мне например лишь-бы ложил в базу
>>>Генерилку отчетов я уж сам лучше напишу....
>>>
>>
>>ulog-acctd
>>
>>как вариант, более функциональный ulogd, но, по словам автора, "not
>>optimized in any way" ;
>
> Мне кажется буду всё-таки колдовать с pmacct...
гляньте на примеры использования ulog-acctd из Cизифа или бэкпортов к
ALM24, я там уже поколдовал слегка :)
--
С уважением, Прокопьев Евгений
Eugene Prokopiev пишет: >>>>Мне например лишь-бы ложил в базу >>>>Генерилку отчетов я уж сам лучше напишу.... >>>ulog-acctd Он же вроде только в текстовом виде логи пишет, я не ошибаюсь? >>>как вариант, более функциональный ulogd, но, по словам автора, "not >>>optimized in any way" ; >> Мне кажется буду всё-таки колдовать с pmacct... > гляньте на примеры использования ulog-acctd из Cизифа или бэкпортов к > ALM24, я там уже поколдовал слегка :) Раз уж на то пошло, скажу и я: NetFlow. Всё что нужно, есть в Сизифе и в портах для M24. Если конечно не отпугивает перспектива писать генерилку с использованием стандартных текстовых утилит (flow-tools сюда же). -- Терешков Евгений, ALT Linux team.
Evgenii Terechkov пишет: > Eugene Prokopiev пишет: > > >>>>>Мне например лишь-бы ложил в базу >>>>>Генерилку отчетов я уж сам лучше напишу.... >>>> >>>>ulog-acctd > > > Он же вроде только в текстовом виде логи пишет, я не ошибаюсь? да, и это хорошо :) есть много причин, по которым писать сразу в БД не стоит ;) >>>>как вариант, более функциональный ulogd, но, по словам автора, "not >>>>optimized in any way" ; >>> >>>Мне кажется буду всё-таки колдовать с pmacct... >> >>гляньте на примеры использования ulog-acctd из Cизифа или бэкпортов к >>ALM24, я там уже поколдовал слегка :) > > > Раз уж на то пошло, скажу и я: NetFlow. Всё что нужно, есть в Сизифе и в > портах для M24. Если конечно не отпугивает перспектива писать генерилку с > использованием стандартных текстовых утилит (flow-tools сюда же). "Любая проблема дизайна может быть решена введением дополнительного абстрактного слоя, за исключением проблемы слишком большого количества дополнительных абстрактных слоев" (c) :) -- С уважением, Прокопьев Евгений
Eugene Prokopiev пишет: >>>>>>Генерилку отчетов я уж сам лучше напишу.... >>>>>ulog-acctd >> Он же вроде только в текстовом виде логи пишет, я не ошибаюсь? > да, и это хорошо :) > есть много причин, по которым писать сразу в БД не стоит ;) Нет, это я к тому, что то что опакечено сейчас позволяет без проблем писать данные в виде бинарных файлов NetFlow. Преобразовать их хоть в текст (flow-print, flow-stat , flow-export...) хоть в БД можно, но это отдельная задача. С коллекторами NetFlow, пишущими прямо в БД туго - один вроде в orphaned и один недопиленный у меня на диске. Коллекторов же NetFlow, пишущих в текстовые файлы, я просто не знаю. >> Раз уж на то пошло, скажу и я: NetFlow. Всё что нужно, есть в Сизифе и в >> портах для M24. Если конечно не отпугивает перспектива писать генерилку с >> использованием стандартных текстовых утилит (flow-tools сюда же). > "Любая проблема дизайна может быть решена введением дополнительного > абстрактного слоя, за исключением проблемы слишком большого количества > дополнительных абстрактных слоев" (c) :) Верно, но тут не так уж много слоёв. Разумный минимум. -- Терешков Евгений, ALT Linux team.
On Sat, Oct 07, 2006 at 06:55:04PM +0800, Evgenii Terechkov wrote: > >> Раз уж на то пошло, скажу и я: NetFlow. Всё что нужно, есть в Сизифе и в > >> портах для M24. Если конечно не отпугивает перспектива писать генерилку с > >> использованием стандартных текстовых утилит (flow-tools сюда же). > > "Любая проблема дизайна может быть решена введением дополнительного > > абстрактного слоя, за исключением проблемы слишком большого количества > > дополнительных абстрактных слоев" (c) :) > > Верно, но тут не так уж много слоёв. Разумный минимум. Как по мне, наоборот :-) NetFlow -- это, собссно, _трафик_. Почти в чистом виде. Есть немножко проблема в том, что между ним и "пользователем" этой информации лежит печальная необходимость писать генерилки... Но и она уже (необходимость), кажется, обойдена -- уже есть написанные генерилки. > > -- > Терешков Евгений, ALT Linux team. -- _,-=._ /|_/| `-.} `=._,.-=-._., @ @._, `._ _,-. ) _,.-' ` G.m-"^m`m' Dmytro O. Redchuk
Eugene Prokopiev пишет:
>> Мне например лишь-бы ложил в базу
>> Генерилку отчетов я уж сам лучше напишу....
>>
>
> ulog-acctd
>
> как вариант, более функциональный ulogd, но, по словам автора, "not
> optimized in any way" ;)
>
Посмотрел.....
Вопрос возник, можно ли его заставить писать в лог по возрастанию
таймстампа? и желательно таймстамп в формате %.3f ?
Alexey Sidorov пишет:
> Eugene Prokopiev пишет:
>
>>>Мне например лишь-бы ложил в базу
>>>Генерилку отчетов я уж сам лучше напишу....
>>>
>>
>>ulog-acctd
>>
>>как вариант, более функциональный ulogd, но, по словам автора, "not
>>optimized in any way" ;)
>>
>
> Посмотрел.....
> Вопрос возник, можно ли его заставить писать в лог по возрастанию
> таймстампа? и желательно таймстамп в формате %.3f ?
А зачем, если все равно предполагается постобработка для загрузки в БД?
Или нужен real-time billing? Тогда ulog-acctd, наверное, не годится :(
Не совсем понял, что такое %.3f. Если не найдете в оригинальной
документации, как это сделать, загляните в config.c в районе строки 122
и далее по константам вроде OUT_TIMESTAMP - я оттуда выудил
недокументированный %Z, который мне оказался полезен ;)
--
С уважением, Прокопьев Евгений
Eugene Prokopiev пишет: > А зачем, если все равно предполагается постобработка для загрузки в БД? > ну собственно за эти и надо. причем грузить не раз в день, а раз в 15 минут надо ведь как-то помнить, до какой строки account.log был загружен в прошлый раз.... я сквидовский лог так гружу - запоминаю до какого таймстампа дошёл в прошлый раз > Не совсем понял, что такое %.3f. float с тремя знаками после запятой
Alexey Sidorov пишет:
> Eugene Prokopiev пишет:
>
>>А зачем, если все равно предполагается постобработка для загрузки в БД?
>>
>
> ну собственно за эти и надо. причем грузить не раз в день, а раз в 15 минут
> надо ведь как-то помнить, до какой строки account.log был загружен в
> прошлый раз....
> я сквидовский лог так гружу - запоминаю до какого таймстампа дошёл в
> прошлый раз
У меня это делает logrotate (см. его скрипт), но ничто не мешает делать
это кому-то другому. Алогоритм:
1) говорим ulog-acctd: не пиши пока в файл, мы с ним хотим работать
2) загружаем содержимое файла куда-нибудь, очищаем файл
3) говорим ulog-acctd: теперь пиши в файл
пока ulog-acctd не пишет в файл account.log, он пишет в dump, т.е. в
случае чего потерь быть не должно.
Еще вариант (и для сквида тоже): писать не в файл, а в pipe (где-то на
opennet был пример) - будет почти realtime ;)
--
С уважением, Прокопьев Евгений
On Tue, 10 Oct 2006 09:44:13 +0400
Alexey Sidorov <alex@reutman.ru> wrote:
> ну собственно за эти и надо. причем грузить не раз в день, а раз в 15 минут
> надо ведь как-то помнить, до какой строки account.log был загружен в
> прошлый раз....
> я сквидовский лог так гружу - запоминаю до какого таймстампа дошёл в
> прошлый раз
так вы просто обработали лог за прдыдущие 15 мин, удалите его
--
Мерзляков Е.А. icq: #115657846
ПКБ Акустика
Мерзляков Евгений Анатольевич пишет:
> On Tue, 10 Oct 2006 09:44:13 +0400
> Alexey Sidorov <alex@reutman.ru> wrote:
>
>
>> ну собственно за эти и надо. причем грузить не раз в день, а раз в 15 минут
>> надо ведь как-то помнить, до какой строки account.log был загружен в
>> прошлый раз....
>> я сквидовский лог так гружу - запоминаю до какого таймстампа дошёл в
>> прошлый раз
>>
>
> так вы просто обработали лог за прдыдущие 15 мин, удалите его
>
>
Так и сделал. Посмотрим :)
У меня тут возник ещё вопрос, не знаю, есть ли на него решение.... из iptables в ulog попадает например пакет xxx.xxx.xxx.xxx : 5190 -> yyy.yyy.yyy.yyy : 5222 - столько-то байт как-то понять, это xxx.xxx.xxx.xxx лезет на джаббер-сервер yyy.yyy.yyy.yyy или асечный сервер ххх.ххх.ххх.ххх отвечает клиенту yyy.yyy.yyy.yyy ?
Есть Smart-UPS apc surt10000xli, есть сервер с воткнутым в него gsm-модемом. Задача -припропадании сетевого питания проспамить на кучку сотовых смсками с алярмой... всё бы нечего -на ком-порт на сервере в котоырй воткнут gsm-модем уже занят самим модемом. Осталось только -отсылка писем с самого упса (умеет спамить) и snmp. Как бы решить проблему? email2sms не предлагать..
Anton Gorlov пишет:
> Осталось только -отсылка писем с самого упса (умеет спамить) и snmp.
> Как бы решить проблему? email2sms не предлагать..
Раз железка сама умеет высылать весточку, указать почтовый адрес,
соответсвующий вашему номеру? Предполагается, оператор мобильной
связи предоставляет API в виде our_number@my_gsm_company.com
Или, например, используя инструмент в составе MTA exim -
system-filter. Получая письмо на свой почтовый адрес, создаете
письмо с нужными заголовками, и отправляете на нужный адрес/номер.
--
Anton Kvashin
Anton Kvashin пишет: > Anton Gorlov пишет: >> Осталось только -отсылка писем с самого упса (умеет спамить) и snmp. >> Как бы решить проблему? email2sms не предлагать.. > Раз железка сама умеет высылать весточку, указать почтовый адрес, > соответсвующий вашему номеру? Предполагается, оператор мобильной > связи предоставляет API в виде our_number@my_gsm_company.com так я же написал что этот вариант не устраивает -бо гейты тормозно работают и переодически вообще лежат. > Или, например, используя инструмент в составе MTA exim - > system-filter. Получая письмо на свой почтовый адрес, создаете > письмо с нужными заголовками, и отправляете на нужный адрес/номер. Мне нужно прсто получить как-то что питание пропало и дальше скрипт мне пришёл смс (некий перловвый который общается с компортом на котором весит гсм-модем)
On 13.10.2006 17:45:30, Anton Gorlov wrote: > Мне нужно прсто получить как-то что питание пропало и дальше скрипт > мне пришёл смс (некий перловвый который общается с компортом на > котором весит гсм-модем) А при чём тут перловый скрипт? Попробуйте программки для работы с сотовыми телефонами (напр. gammu). Ещё ссылка для размышления: http://gsm-ec.com/forum/viewtopic.php?t=109&highlight=linux Ильдар -- Ildar Mulyukov, free SW designer/programmer/packager ========================================= email: ildar@altlinux.ru ALT Linux Sisyphus http://www.sisyphus.ru =========================================
Ildar Mulyukov пишет: > А при чём тут перловый скрипт? Притом же самом -скрипт получает на вход текст котоырй надо оптравить и пердаёт этот текст в порт модема вместе с коммандами управления. > Попробуйте программки для работы с > сотовыми телефонами (напр. gammu). Ещё ссылка для размышления: > http://gsm-ec.com/forum/viewtopic.php?t=109&highlight=linux на скрипт уже довольно много завязано. не думаю что есть смысл переделывать. К тмоу же велосипед уже почти изобрёл - бесперебойник прекрасно по snmp отдаёт данные. и apcupsd умеет по snmp работать.
On Thu, Oct 12, 2006 at 08:20:04AM +0400, andrew wrote: > >>P.P.S. Настройте правильное время на своём компьютере, пожалуйста. > время сам хочу поправить но ставлю одно - оно пригает в другое (и т.д.) /bin/cp -a /usr/share/zoneinfo/Europe/Kiev /etc/localtime update_chrooted conf (на всякий случай) выставить время: date -s 'Oct 15 2006 17:21' или при наличии тырнета ntpdate 193.193.193.107 Плюс в зависимости от того, есть ли рядом windows или ещё что, следует проверить, в чём время в BIOS (если есть -- надо местное, если только *NIX -- гораздо лучше GMT). См. тж. /etc/sysconfig/clock, /usr/share/doc/initscripts-5.49.1/sysconfig.txt Соответственно для завершающего штриха заносим в BIOS -- hwclock --systohc --utc (если там будет GMT) или hwclock --systohc (если местное) -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/
On Fri, Oct 13, 2006 at 02:41:59PM +0400, Anton Gorlov wrote: > Задача -припропадании сетевого питания проспамить на кучку > сотовых смсками с алярмой... всё бы нечего -на ком-порт на > сервере в котоырй воткнут gsm-модем уже занят самим модемом. Добудь ещё один компорт, другой модем (бывают и USB, и PCI) или перекинь его на другой -- возможно, вспомогательный -- ящик. -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/
Michael Shigorin пишет:
> Добудь ещё один компорт, другой модем (бывают и USB, и PCI)
> или перекинь его на другой -- возможно, вспомогательный --
> ящик.
Сейчас всплыл другой вариант -на сервер мониторинга ставится Apcupsd
-сервер, а на машинку клиент.
--
np: silence
Объясните плиз, что это такое или хотя бы киньте пару ссылок, где почитать можно... -- С уважением, Дмитрий Борисов mailto:dborisov@datakrat.ru
DataKrat пишет:
> Объясните плиз, что это такое или хотя бы киньте пару ссылок, где
> почитать можно...
Шутка смешная, оценил.
Если серьёзно, то задавайте вопросы точнее/конкретнее (почитав
Smart-Questions-HOWTO хотя бы).
P.S.: фифа это, man (1) mkfifo.
--
С уважением, системный
администратор ООО "Крастел",
Терешков Евгений.
что посоветуете для мониторинга работы серверов? (мне необходимо такое: выключен сервак или служба - отослать письмо админу и по возможности включить службу|сервер) zabbix подойдет? спасибо!
Serge пишет:
> что посоветуете для мониторинга работы серверов?
> (мне необходимо такое: выключен сервак или служба - отослать письмо админу и
> по возможности включить службу|сервер)
> zabbix подойдет?
Да. Nagios тоже.
--
Терешков Евгений, ALT Linux team.
On Fri, Oct 20, 2006 at 03:17:22PM +0800, Evgenii Terechkov wrote: > > что посоветуете для мониторинга работы серверов? (мне > > необходимо такое: выключен сервак или служба - отослать > > письмо админу и по возможности включить службу|сервер) > > zabbix подойдет? > Да. Nagios тоже. Гораздо лучше -- monit. -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/
Michael Shigorin пишет:
> On Fri, Oct 20, 2006 at 03:17:22PM +0800, Evgenii Terechkov wrote:
>> > что посоветуете для мониторинга работы серверов? (мне
>> > необходимо такое: выключен сервак или служба - отослать
>> > письмо админу и по возможности включить службу|сервер)
>> > zabbix подойдет?
>> Да. Nagios тоже.
>
> Гораздо лучше -- monit.
(Мстительно) Cfengine ещё лучше.
P.S.: в курилку ? :-)
--
Терешков Евгений, ALT Linux team.
On Fri, Oct 20, 2006 at 08:48:14PM +0800, Evgenii Terechkov wrote: > >> > что посоветуете для мониторинга работы серверов? (мне > >> > необходимо такое: выключен сервак или служба - отослать > >> > письмо админу и по возможности включить службу|сервер) > >> > zabbix подойдет? > >> Да. Nagios тоже. > > Гораздо лучше -- monit. > (Мстительно) Cfengine ещё лучше. Оно умеет мониторить?! Ого, не знал. > P.S.: в курилку ? :-) Ни разу, лучше лекцию сюда и на wiki. Всё руки до cfe не доходили. -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/
Michael Shigorin пишет: >> >> > zabbix подойдет? >> >> Да. Nagios тоже. >> > Гораздо лучше -- monit. >> (Мстительно) Cfengine ещё лучше. > Оно умеет мониторить?! Ого, не знал. Местами(с). Среди прочего. По крайней мере то, что человек заказал, может буквально одной строчкой. Другое дело, что оно не совсем из той оперы (и поэтому таких нюансов, какие я видел в том же нагиосе, там нет и не предвидится). >> P.S.: в курилку ? :-) > Ни разу, лучше лекцию сюда и на wiki. Всё руки до cfe не > доходили. Боюсь на лекцию моих знаний не хватит. Я его использую хорошо если как мозг, на 5%. Первое время буквально с книжкой в руках конфигурил. По чтению соответствующей рассылки возникает подозрение, что до конца понимает CFe только автор. :-) Это чем-то напоминает питон или перл - армейский нож и конструктор в одном. Поэтому что то написать/посоветовать сложно. Очень зависит. -- Терешков Евгений, ALT Linux team.
On Fri, Oct 20, 2006 at 11:40:47PM +0800, Evgenii Terechkov wrote: > >> >> > zabbix подойдет? > >> >> Да. Nagios тоже. > >> > Гораздо лучше -- monit. > >> (Мстительно) Cfengine ещё лучше. > > Оно умеет мониторить?! Ого, не знал. > Местами(с). Среди прочего. Ну вот а monit не страшно вешать в inittab, поскольку компактный и достаточно деревянный, чтоб сам не разваливался даже в довольно сложных обстоятельствах. -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/
В сообщении от Пятница 20 Октябрь 2006 18:51 Michael Shigorin написал(a):
> On Fri, Oct 20, 2006 at 11:40:47PM +0800, Evgenii Terechkov wrote:
> > >> >> > zabbix подойдет?
> > >> >>
> > >> >> Да. Nagios тоже.
> > >> >
> > >> > Гораздо лучше -- monit.
> > >>
> > >> (Мстительно) Cfengine ещё лучше.
> > >
> > > Оно умеет мониторить?! Ого, не знал.
> >
> > Местами(с). Среди прочего.
>
> Ну вот а monit не страшно вешать в inittab, поскольку компактный
> и достаточно деревянный, чтоб сам не разваливался даже в довольно
> сложных обстоятельствах.
спасибо!
Hi Michael!
Friday 20, at 06:51:45 PM you wrote:
> On Fri, Oct 20, 2006 at 11:40:47PM +0800, Evgenii Terechkov wrote:
> > >> >> > zabbix подойдет?
> > >> >> Да. Nagios тоже.
> > >> > Гораздо лучше -- monit.
> > >> (Мстительно) Cfengine ещё лучше.
> > > Оно умеет мониторить?! Ого, не знал.
> > Местами(с). Среди прочего.
>
> Ну вот а monit не страшно вешать в inittab, поскольку компактный
> и достаточно деревянный, чтоб сам не разваливался даже в довольно
> сложных обстоятельствах.
если бы там еще конфиг "из коробки" был правильный ;)
--
WBR et al.
Michael Shigorin пишет:
>> >> (Мстительно) Cfengine ещё лучше.
>> > Оно умеет мониторить?! Ого, не знал.
>> Местами(с). Среди прочего.
> Ну вот а monit не страшно вешать в inittab, поскольку компактный
> и достаточно деревянный, чтоб сам не разваливался даже в довольно
> сложных обстоятельствах.
Ну, оно тоже не разваливается (у меня не разу) и если что самое себя
чинит/поднимает (на то она и иммунная система). Но я про то, что оно как бы
на совсем другом уровне сложности/возможностей и не каждому они нужны (и
использовать их все это надо уметь).
--
Терешков Евгений, ALT Linux team.
On Fri, Oct 20, 2006 at 11:41:37PM +0400, Konstantin A. Lepikhov wrote: > > > >> >> > zabbix подойдет? > > > >> >> Да. Nagios тоже. > > > >> > Гораздо лучше -- monit. > > > >> (Мстительно) Cfengine ещё лучше. > > > > Оно умеет мониторить?! Ого, не знал. > > > Местами(с). Среди прочего. > > Ну вот а monit не страшно вешать в inittab, поскольку > > компактный и достаточно деревянный, чтоб сам не разваливался > > даже в довольно сложных обстоятельствах. > если бы там еще конфиг "из коробки" был правильный ;) Иниттаб или монитовый? По второму баги всячески приветствуются (и изредка разгребаются ;) -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/
Hi Michael!
Saturday 21, at 12:01:31 AM you wrote:
> On Fri, Oct 20, 2006 at 11:41:37PM +0400, Konstantin A. Lepikhov wrote:
> > > > >> >> > zabbix подойдет?
> > > > >> >> Да. Nagios тоже.
> > > > >> > Гораздо лучше -- monit.
> > > > >> (Мстительно) Cfengine ещё лучше.
> > > > > Оно умеет мониторить?! Ого, не знал.
> > > > Местами(с). Среди прочего.
> > > Ну вот а monit не страшно вешать в inittab, поскольку
> > > компактный и достаточно деревянный, чтоб сам не разваливался
> > > даже в довольно сложных обстоятельствах.
> > если бы там еще конфиг "из коробки" был правильный ;)
>
> Иниттаб или монитовый? По второму баги всячески приветствуются
> (и изредка разгребаются ;)
* Fri Sep 01 2006 Michael Shigorin <mike@altlinux> 4.8.1-alt1
- 4.8.1
- fixed #9910 (default monitrc needed an update);
thanks hiddenman@
воистину так :)
--
WBR et al.
On 20.10.2006 21:51:45, Michael Shigorin wrote: > On Fri, Oct 20, 2006 at 11:40:47PM +0800, Evgenii Terechkov wrote: > > >> >> > zabbix подойдет? > > >> >> Да. Nagios тоже. > > >> > Гораздо лучше -- monit. > > >> (Мстительно) Cfengine ещё лучше. > > > Оно умеет мониторить?! Ого, не знал. > > Местами(с). Среди прочего. > > Ну вот а monit не страшно вешать в inittab, поскольку компактный > и достаточно деревянный, чтоб сам не разваливался даже в довольно > сложных обстоятельствах. inittab тоже довольно стоек к программам-эпилептикам. Ильдар -- Ildar Mulyukov, free SW designer/programmer/packager ========================================= email: ildar@altlinux.ru ALT Linux Sisyphus http://www.sisyphus.ru =========================================
On Sat, Oct 21, 2006 at 11:53:28AM +0600, Ildar Mulyukov wrote: > > Ну вот а monit не страшно вешать в inittab, поскольку > > компактный и достаточно деревянный, чтоб сам не разваливался > > даже в довольно сложных обстоятельствах. > inittab тоже довольно стоек к программам-эпилептикам. Вырубает на длительные и нерегулируемые индивидуально периоды времени быстролётных, плюс настучать не может, плюс это скорее abuse системного процесса, чем применение специализированного. За прошедшее время пришёл к тому, что где надо, чтоб *работало* -- на обоих хостах делается monit в inittab. Научили бы его ещё в RAM лочиться, чтоб ненароком в своп не угодить при плохом раскладе -- было бы вообще замечательно. -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/
[-- Attachment #1: Type: text/plain, Size: 359 bytes --] В сообщении от 21 октября 2006 12:47 Michael Shigorin написал(a): > За прошедшее время пришёл к тому, что где надо, чтоб *работало* > -- на обоих хостах делается monit в inittab. Научили бы его > ещё в RAM лочиться, чтоб ненароком в своп не угодить при плохом > раскладе -- было бы вообще замечательно. sticky-бит не помогает? -- Slipknot - Disasterpiece [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
On Sat, Oct 21, 2006 at 05:29:42PM +0300, Igor Zubkov wrote: > > За прошедшее время пришёл к тому, что где надо, чтоб > > *работало* -- на обоих хостах делается monit в inittab. > > Научили бы его ещё в RAM лочиться, чтоб ненароком в своп не > > угодить при плохом раскладе -- было бы вообще замечательно. > sticky-бит не помогает? Здрасьте, ты что, серьёзно не в курсе? :))) Он уже очень давно в *NIX для файлов ничего не определяет. -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/
[-- Attachment #1: Type: text/plain, Size: 658 bytes --] В сообщении от 22 октября 2006 00:57 Michael Shigorin написал(a): > On Sat, Oct 21, 2006 at 05:29:42PM +0300, Igor Zubkov wrote: > > > За прошедшее время пришёл к тому, что где надо, чтоб > > > *работало* -- на обоих хостах делается monit в inittab. > > > Научили бы его ещё в RAM лочиться, чтоб ненароком в своп не > > > угодить при плохом раскладе -- было бы вообще замечательно. > > > > sticky-бит не помогает? > > Здрасьте, ты что, серьёзно не в курсе? :))) Ага. Я глупый? Да? :) > Он уже очень давно в *NIX для файлов ничего не определяет. Интересная операционная система, каждый день что-то новое узнаю. -- Fort Minor - Cover and Duck (feat. SOB) [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Добрый вечер. Вот такая задача появилась. Необходимо регулярно и гарантированно перемещать файлы с одного компа на другой. Между компами медленный туннель, который может рваться. Сейчас это сделано через rsync, но он не умеет удалять файлы на компе-источнике. Смотрю в сторону uucp, но там тоже копирование. Подскажите рецепт. - -- Алексей. GPG key fingerprint 949B BC0E 2C44 7528 4F63 2753 E37A 9E3F 11F3 BDE1 -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.1 (GNU/Linux) Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org iD8DBQFFQeCJ43qePxHzveERAilVAJ9Q9K7kECDrnh5BdVOw+S5NPP05xACePe25 k9ty8StNxpNgijurN5ov4jg= =bnrw -----END PGP SIGNATURE-----
[-- Attachment #1: Type: text/plain, Size: 401 bytes --] Alexey Borovskoy пишет: > Вот такая задача появилась. > Необходимо регулярно и гарантированно перемещать файлы с одного компа на > другой. Между компами медленный туннель, который может рваться. > > Сейчас это сделано через rsync, но он не умеет удалять файлы на > компе-источнике. Умеет вроде. http://wiki.sisyphus.ru/devel/Incoming?v=1df8#h133-3 -- С уважением, Дубровский Вячеслав. [-- Attachment #2: S/MIME Cryptographic Signature --] [-- Type: application/x-pkcs7-signature, Size: 3237 bytes --]
Hi, Пару лет назад понадобился dial-in сервер. Подключил модем. Настроил. Забыл. Поработало некоторое время, но оказалось никому не нужно. Потом начались ремонты, смена оборудования на городской атс и в какой-то момент модем перестал брать трубку при входящем звонке. Тогда было пофиг. Разбираться особо не стали. Сейчас снова нужен дозвон. Поставил вместо того модема новый. И вижу в логах: WARNING: DSR is off - modem turned off or bad cable? lowering DTR to reset Modem. Всё это происходит на АЛМ2.4. Может кто-нибудь сказать куда копать и вчем причина? miniciom до модема тоже, по моему, не может достучаться. Гугление пока тоже результата не дало. Но, возможно я не могу правильно спросить. -- Андрей
>Hi, >Пару лет назад понадобился dial-in сервер. Подключил модем. Настроил. >Забыл. Поработало некоторое время, но оказалось никому не нужно. Потом >начались ремонты, смена оборудования на городской атс и в какой-то >момент модем перестал брать трубку при входящем звонке. Тогда было >пофиг. Разбираться особо не стали. >Сейчас снова нужен дозвон. Поставил вместо того модема новый. И вижу в >логах: >WARNING: DSR is off - modem turned off or bad cable? >lowering DTR to reset Modem. Вот на эту фразу гугл выдаёт больше одной страницы результата... http://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=lowering%20DTR%20to%20reset%20Modem. >Всё это происходит на АЛМ2.4. Может кто-нибудь сказать куда копать и >вчем причина? miniciom до модема тоже, по моему, не может достучаться. >Гугление пока тоже результата не дало. Но, возможно я не могу правильно >спросить.
Здравствуйте, А как можно статус раскладки (рус/лат) клавиатуры X-ов получить в текстовом виде, а не в в виде гуёвых лампочек?
30 октября 2006 10:20, Timur Batyrshin написал:
> А как можно статус раскладки (рус/лат) клавиатуры X-ов получить в
> текстовом виде, а не в в виде гуёвых лампочек?
Например, в консоли 'setleds' без параметров.
--
ABATAPA
27 октября 2006 14:33, Alexey Borovskoy написал:
> Сейчас это сделано через rsync, но он не умеет удалять файлы на
> компе-источнике.
Информация неверная.
man rsync
/delete
--
ABATAPA
ABATAPA пишет:
> 30 октября 2006 10:20, Timur Batyrshin написал:
>> А как можно статус раскладки (рус/лат) клавиатуры X-ов получить в
>> текстовом виде, а не в в виде гуёвых лампочек?
> Например, в консоли 'setleds' без параметров.
Это не совсем то, т.к. не работает в Х-ах, а также не показывает какая
раскладка - та, что указывается в XkbLayout - выставлена.
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 ABATAPA пишет: > 27 октября 2006 14:33, Alexey Borovskoy написал: > >>Сейчас это сделано через rsync, но он не умеет удалять файлы на >>компе-источнике. > > Информация неверная. > man rsync > /delete Сегодня вдумчиво почитал английский ман. Откопал опцию - --remove-sent-files sent files/symlinks are removed from sending side Самое то. - -- Алексей. GPG key fingerprint 949B BC0E 2C44 7528 4F63 2753 E37A 9E3F 11F3 BDE1 -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.1 (GNU/Linux) Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org iD8DBQFFResc43qePxHzveERAhT7AKC7N4BZIQY958GK3s9lcnC4Jo2/fACgsROT N3n5V7YPgsDXEHEppQM8AdA= =6B4f -----END PGP SIGNATURE-----
[-- Attachment #1: Type: text/plain, Size: 1506 bytes --] Igor Zubkov пишет: >> Hi, >> Пару лет назад понадобился dial-in сервер. Подключил модем. Настроил. >> Забыл. Поработало некоторое время, но оказалось никому не нужно. Потом >> начались ремонты, смена оборудования на городской атс и в какой-то >> момент модем перестал брать трубку при входящем звонке. Тогда было >> пофиг. Разбираться особо не стали. >> Сейчас снова нужен дозвон. Поставил вместо того модема новый. И вижу в >> логах: >> WARNING: DSR is off - modem turned off or bad cable? >> lowering DTR to reset Modem. > > Вот на эту фразу гугл выдаёт больше одной страницы результата... > > http://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=lowering%20DTR%20to%20reset%20Modem. > Увы. Гугление не помогло не потому, что я не нашел ни одной ссылки, а потому, что среди найденного (тоже на несколько сотен ссылок) не оказалось ничего полезного. Может есть ещё какие идеи? >> Всё это происходит на АЛМ2.4. Может кто-нибудь сказать куда копать и >> вчем причина? miniciom до модема тоже, по моему, не может достучаться. >> Гугление пока тоже результата не дало. Но, возможно я не могу правильно >> спросить. > -- Rgrds, Andriy ********************************************************************* email: dobr at iop dot kiev dot ua Kyiv, Ukraine Phone: (380-44) 525-7824 Department of Gas Electronics Fax: (380-44) 525-2329 Institute of Physics of NASU *********************dobrATjabber.iop.kiev.ua************************ [-- Attachment #2: OpenPGP digital signature --] [-- Type: application/pgp-signature, Size: 189 bytes --]
[-- Attachment #1: Type: text/plain, Size: 216 bytes --] Timur Batyrshin пишет: > Здравствуйте, > > А как можно статус раскладки (рус/лат) клавиатуры X-ов получить в > текстовом виде, а не в в виде гуёвых лампочек? Возьми исходники kkbswitch и поковыряйся... :) [-- Attachment #2: OpenPGP digital signature --] [-- Type: application/pgp-signature, Size: 254 bytes --]
On Tue, Oct 31, 2006 at 03:38:37PM +0800, Ivan Fedorov wrote: > > А как можно статус раскладки (рус/лат) клавиатуры X-ов получить в > > текстовом виде, а не в в виде гуёвых лампочек? > Возьми исходники kkbswitch и поковыряйся... :) Думаю, проще xxkb. -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/
31.10.06, Michael Shigorin<mike osdn.org.ua> написал(а):
> On Tue, Oct 31, 2006 at 03:38:37PM +0800, Ivan Fedorov wrote:
> > > А как можно статус раскладки (рус/лат) клавиатуры X-ов получить в
> > > текстовом виде, а не в в виде гуёвых лампочек?
> > Возьми исходники kkbswitch и поковыряйся... :)
> Думаю, проще xxkb.
Не думаю... xxkb - просто отслеживает смену ракладки и показывает то,
что прописано в конфиге...
--
С уважением,
Евгений Остапец
uin: 23747217
jid: eugene_ostapets@jabber.ru
вівторок 31 жовтень 2006 17:41, Andrii Dobrovol`s`kii написав: > А среди нас ещё остались специалисты по dial-up? Кто может напомнить > механизм установления связи между модемами? Вроде как оин становится в режим answer (ATS0=xx, где xx -- к-во гудков до поднятия трубки), а другой звонит. > Собственно, вопрос такой -- модем должен снимать трубку всегда при > входящем звонке или нет? В зависимости от значения регистра S0. Если равен нулю -- трубку не снимает. > И настройка на тип линии > (импульсная/тоновая) когда выполняется? При инициализации? Можно и в строку инициализации, но надежней при наборе. При наборе номера: ATDPxxxxxxx -- набрать в импульсном режиме номер xxxxxxx ATDТxxxxxxx -- набрать в тоновом режиме номер xxxxxxx Вроде так. -- З повагою, С.В. Глодін
[-- Attachment #1: Type: text/plain, Size: 1065 bytes --] Andrii Dobrovol`s`kii пишет: > Andriy Dobrovolkii пишет: > >>Hi, >>Пару лет назад понадобился dial-in сервер. Подключил модем. Настроил. >>Забыл. Поработало некоторое время, но оказалось никому не нужно. Потом >>начались ремонты, смена оборудования на городской атс и в какой-то >>момент модем перестал брать трубку при входящем звонке. Тогда было >>пофиг. Разбираться особо не стали. > > А среди нас ещё остались специалисты по dial-up? Кто может напомнить > механизм установления связи между модемами? > Собственно, вопрос такой -- модем должен снимать трубку всегда при > входящем звонке или нет? Настраивается: в зависимости от содержимого регистров может снимать/не снимать/снимать после n звонков... > И настройка на тип линии > (импульсная/тоновая) когда выполняется? При инициализации? Умолчания прошиты в энергонезависимой памяти модема. Их (умолчания для ATD) можно сменить AT командами. И/или использовать команду с указанием типа дозвона (ATDP/ATDP) PS: Надеюсь, нечего не переврал... -- С уважением. Алексей. [-- Attachment #2: OpenPGP digital signature --] [-- Type: application/pgp-signature, Size: 550 bytes --]
On Sat, Oct 28, 2006 at 05:55:21PM +0300, Andriy Dobrovolkii wrote: > Hi, > Пару лет назад понадобился dial-in сервер. Подключил модем. Настроил. > Забыл. Поработало некоторое время, но оказалось никому не нужно. Потом > начались ремонты, смена оборудования на городской атс и в какой-то > момент модем перестал брать трубку при входящем звонке. Тогда было > пофиг. Разбираться особо не стали. > Сейчас снова нужен дозвон. Поставил вместо того модема новый. И вижу в > логах: > WARNING: DSR is off - modem turned off or bad cable? Можно посмотреть настройки модема на предмет DSR (normal, force, off или чего-то в этом духе). > lowering DTR to reset Modem. > Всё это происходит на АЛМ2.4. Может кто-нибудь сказать куда копать и > вчем причина? miniciom до модема тоже, по моему, не может достучаться. Миником должен достукиваться, если только можем не в слишком хитрой позе. Можно сбросить в умолчания -- каждый модем должен (типа) откликаться на команды "из умолчаний". > Гугление пока тоже результата не дало. Но, возможно я не могу правильно > спросить. Если какой-то mgetty, то ему не нужно, чтобы можем сам снимал трубку -- он, увидев нужное количество RING'ов, сам кидает модему ATA, кажется. (Вообще такое впечатление, что "любой" можем в умолчаниях должен сразу работать с mgetty... могу ошибаться. Не только здесь, везде:) > -- > Андрей -- _,-=._ /|_/| `-.} `=._,.-=-._., @ @._, `._ _,-. ) _,.-' ` G.m-"^m`m' Dmytro O. Redchuk XMMS:
[-- Attachment #1: Type: text/plain, Size: 1017 bytes --] Andriy Dobrovolkii пишет: > Hi, > Пару лет назад понадобился dial-in сервер. Подключил модем. Настроил. > Забыл. Поработало некоторое время, но оказалось никому не нужно. Потом > начались ремонты, смена оборудования на городской атс и в какой-то > момент модем перестал брать трубку при входящем звонке. Тогда было > пофиг. Разбираться особо не стали. А среди нас ещё остались специалисты по dial-up? Кто может напомнить механизм установления связи между модемами? Собственно, вопрос такой -- модем должен снимать трубку всегда при входящем звонке или нет? И настройка на тип линии (импульсная/тоновая) когда выполняется? При инициализации? -- Rgrds, Andriy ********************************************************************* email: dobr at iop dot kiev dot ua Kyiv, Ukraine Phone: (380-44) 525-7824 Department of Gas Electronics Fax: (380-44) 525-2329 Institute of Physics of NASU *********************dobrATjabber.iop.kiev.ua************************ [-- Attachment #2: OpenPGP digital signature --] [-- Type: application/pgp-signature, Size: 189 bytes --]
[-- Attachment #1: Type: text/plain, Size: 760 bytes --] On Tue, Oct 31, 2006 at 05:41:50PM +0200, Andrii Dobrovol`s`kii wrote: > А среди нас ещё остались специалисты по dial-up? когда я увидел свой первый модем года три назад, многое мне объяснил мануал к нему - там оказывается все его ФЕ команды были перечислины. модем - обычный lucent :) > Кто может напомнить механизм установления связи между модемами? > Собственно, вопрос такой -- модем должен снимать трубку всегда при > входящем звонке или нет? И настройка на тип линии > (импульсная/тоновая) когда выполняется? При инициализации? последовательность: а вот ето фиг знает. может и при инициализации указать можно, перед ожидаение RING нужен ман к модему по его AT командам. либо к какому другому :) -- С уважением Афанасов Дмитрий [-- Attachment #2: Digital signature --] [-- Type: application/pgp-signature, Size: 189 bytes --]
[-- Attachment #1: Type: text/plain, Size: 2299 bytes --] Глодін С.В. пишет: > вівторок 31 жовтень 2006 17:41, Andrii Dobrovol`s`kii написав: >> А среди нас ещё остались специалисты по dial-up? Кто может напомнить >> механизм установления связи между модемами? > > Вроде как оин становится в режим answer (ATS0=xx, где xx -- к-во гудков до > поднятия трубки), а другой звонит. > Вот тут и находится мой вопрос. :) Модем к которому звонят, всегда должен взять трубку или зависит? Если зависит, то от чего? А то всё работало-работало ... и модем перестал брать трубку, на сервере. >> Собственно, вопрос такой -- модем должен снимать трубку всегда при >> входящем звонке или нет? > > В зависимости от значения регистра S0. Если равен нулю -- трубку не снимает. > >> И настройка на тип линии >> (импульсная/тоновая) когда выполняется? При инициализации? > > Можно и в строку инициализации, но надежней при наборе. > > При наборе номера: > Надежней если этот набор состоится... А у меня проблемы с приемом звонков. > ATDPxxxxxxx -- набрать в импульсном режиме номер xxxxxxx > ATDТxxxxxxx -- набрать в тоновом режиме номер xxxxxxx > > Вроде так. > А в целом, всем спасибо. Продолжаем мучения... -- Rgrds, Andriy ********************************************************************* email: dobr at iop dot kiev dot ua Kyiv, Ukraine Phone: (380-44) 525-7824 Department of Gas Electronics Fax: (380-44) 525-2329 Institute of Physics of NASU *********************dobrATjabber.iop.kiev.ua************************ [-- Attachment #2: OpenPGP digital signature --] [-- Type: application/pgp-signature, Size: 189 bytes --]
>> > > А как можно статус раскладки (рус/лат)
>> клавиатуры X-ов получить в
>> > > текстовом виде, а не в в виде гуёвых
>> лампочек?
>> > Возьми исходники kkbswitch и поковыряйся...
>> :)
>> Думаю, проще xxkb.
> Не думаю... xxkb - просто отслеживает смену
> ракладки и показывает то,
> что прописано в конфиге...
А в чём разница? С виду он вроде делает то
же самое..
Вообще, возможно я не тем путём пытаюсь
идти? Мне нужно, чтобы в статус-строке
оконного менеджера wmii показывалась
раскладка. В голову только пришёл
вариант с размещением там вывода этой
гипотетической команды..
31.10.06, Timur Batyrshin<batyrshin ieml.ru> написал(а):
> >> > Возьми исходники kkbswitch и поковыряйся...
> >> Думаю, проще xxkb.
> > Не думаю... xxkb - просто отслеживает смену
> > ракладки и показывает то, что прописано в конфиге...
> А в чём разница? С виду он вроде делает то
> же самое..
kkbswitch и xfce-xkb-plugin ВЫЧИТЫВАЮТ текущий список раскладок из
Х-ов и показывают его или в чистом виде (буковки us,ru etc), или
находят соотвествующий языку флаг страны и его отображают... А xxkb
только определяет сколько раскладок зарегистрровано и как номер у
текущей... Соотвественно на коде xxkb можно получить "быстрый" хак, а
на коде других переключателей нормальный индикатор для своего WM...
--
С уважением,
Евгений Остапец
uin: 23747217
jid: eugene_ostapets@jabber.ru
Доброго всем! Пытаюсь настроить маршрутизацию на двоих провайдеров (eth1- MCN медленный unlimited; eth2- VGT быстый коммерческий). Основные задачи: доступность вэб-сервера, подключенного к eth0 (DMZ) с обоих внешних интерфейсов и "укорачивание" маршрутов до пиринговых сетей 2-го провайдера. Итак, по порядку: 1) Сетевые интерфейсы [ayv@guard ayv]$ sudo ip address list 1: lo: <LOOPBACK,UP> mtu 16436 qdisc noqueue link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 brd 127.255.255.255 scope host lo 2: eth0: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast qlen 100 link/ether XX:XX:XX:XX:XX:XX brd ff:ff:ff:ff:ff:ff inet 192.168.0.254/24 brd 192.168.0.255 scope global eth0 3: eth1: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast qlen 100 link/ether YY:YY:YY:YY:YY:YY brd ff:ff:ff:ff:ff:ff inet 195.209.85.33/30 brd 195.209.85.35 scope global eth1 4: eth2: <BROADCAST,MULTICAST,PROMISC,UP> mtu 1500 qdisc pfifo_fast qlen 100 link/ether ZZ:ZZ:ZZ:ZZ:ZZ:ZZ brd ff:ff:ff:ff:ff:ff inet 85.112.43.86/30 brd 85.112.43.87 scope global eth2 2) Список правил: [ayv@guard ayv]$ sudo ip rule list 0: from all lookup local 32758: from 195.209.85.33 lookup MCN 32759: from 85.112.43.86 lookup VGT 32760: from 195.209.85.33 lookup MCN 32761: from 85.112.43.86 lookup VGT 32762: from 195.209.85.33 lookup MCN 32763: from 85.112.43.86 lookup VGT 32764: from 195.209.85.33 lookup MCN 32765: from 85.112.43.86 lookup VGT 32766: from all lookup main 32767: from all lookup default 3) Содержание /etc/iproute2/rt_tables # # reserved values # #255 local #254 main 253 default #0 unspec # # local # #1 inr.ruhep 200 MCN 201 VGT 4) Таблица маршрутизации: [ayv@guard ayv]$ sudo ip route list table main 85.112.43.84/30 dev eth2 proto kernel scope link src 85.112.43.86 195.209.85.32/30 dev eth1 proto kernel scope link src 195.209.85.33 62.102.146.0/24 dev eth2 scope link src 85.112.43.86 62.102.147.0/24 dev eth2 scope link src 85.112.43.86 195.128.138.0/24 dev eth2 scope link src 85.112.43.86 192.168.0.0/24 dev eth0 proto kernel scope link src 192.168.0.254 195.128.134.0/24 dev eth2 scope link src 85.112.43.86 85.112.32.0/19 dev eth2 scope link src 85.112.43.86 62.213.0.0/19 dev eth2 scope link src 85.112.43.86 217.77.96.0/19 dev eth2 scope link src 85.112.43.86 195.144.192.0/19 dev eth2 scope link src 85.112.43.86 212.32.192.0/19 dev eth2 scope link src 85.112.43.86 88.200.128.0/17 dev eth2 scope link src 85.112.43.86 127.0.0.0/8 dev lo scope link default via 195.209.85.34 dev eth1 Маршрутом по умолчанию является маршрут на unlimited-канал. 5) Iptables настроен на NAT и forwarding 80 порта в DMZ-сеть 192.168.0.0 6) Ядро 2.4.20-alt12-up Не работает, однако... По интерфейсу eth1 все в порядке. Не осуществляется проброс пакетов, приходящих на 80 порт eth2. В /var/log/kernel/warnings сыпятся сообщения файрвола о "марсианских источниках". Соображения? -- С уважением, главный инженер МОУ ДПОС "Центр медиаобразования" Юрий Аникин
"Yuri V. Anikin" пишет:
> Не работает, однако... По интерфейсу eth1 все в порядке. Не
> осуществляется проброс пакетов, приходящих на 80 порт eth2. В
> /var/log/kernel/warnings сыпятся сообщения файрвола о "марсианских
> источниках". Соображения?
Я отвечал в community@ (и посылал сюда). Не помогло?
--
С уважением, системный
администратор ООО "Крастел",
Терешков Евгений.
On Wednesday 01 November 2006 15:37, Yuri V. Anikin wrote:
> Основные задачи:
> доступность вэб-сервера, подключенного к eth0 (DMZ) с обоих внешних
> интерфейсов и "укорачивание" маршрутов до пиринговых сетей 2-го провайдера.
Предполагается доступность именно по любому адресу, или у сервера будет
просто два имени (www1 и www2 к примеру) ?
--
С уважением, Сергей
a_s_y@sama.ru
Evgenii Terechkov пишет: > "Yuri V. Anikin" пишет: > >> Не работает, однако... По интерфейсу eth1 все в порядке. Не >> осуществляется проброс пакетов, приходящих на 80 порт eth2. В >> /var/log/kernel/warnings сыпятся сообщения файрвола о "марсианских >> источниках". Соображения? > > Я отвечал в community@ (и посылал сюда). Не помогло? > >> 6) Ядро 2.4.20-alt12-up > > На 2.6 наверно лучше перейти. 2.4 больше вроде официально не > поддерживается. Дополнительное уточнение: на этой машине (P-166/192MB)стоит Мастер 2.2 с обновлениями. Переход на Compact 3.0 (ядро 2.6), как Вы понимаете, затруднителен. > >> > Не работает, однако... По интерфейсу eth1 все в порядке. Не >> > осуществляется проброс пакетов, приходящих на 80 порт eth2. В >> > /var/log/kernel/warnings сыпятся сообщения о "марсианских источниках". >> > Соображения? > > Ну почитайте, что такое "марсианские пакеты". Рядом обычно и рецепты лежат. > Тот же lartc. Читаю... > > #echo "rp_filter=0" >> /etc/net/ifaces/eth2/sysctl.conf не оно? Если только по sysctl -a |grep rp_filter : net.ipv4.conf.eth2.rp_filter = 1 net.ipv4.conf.eth1.rp_filter = 1 net.ipv4.conf.eth0.rp_filter = 1 net.ipv4.conf.lo.rp_filter = 1 net.ipv4.conf.default.rp_filter = 1 net.ipv4.conf.all.rp_filter = 1 Выставить данные параметры в /etc/sysctl.conf в значение "0"? -- С уважением, главный инженер МОУ ДПОС "Центр медиаобразования" Юрий Аникин
On Thu, Nov 02, 2006 at 02:41:31PM +0400, Yuri V. Anikin wrote: > > Я отвечал в community@ (и посылал сюда). Не помогло? > >> 6) Ядро 2.4.20-alt12-up > > На 2.6 наверно лучше перейти. 2.4 больше вроде официально не > > поддерживается. То в сизифе из-за glibc-2.5. > Дополнительное уточнение: на этой машине (P-166/192MB)стоит > Мастер 2.2 с обновлениями. Переход на Compact 3.0 (ядро 2.6), > как Вы понимаете, затруднителен. С другой стороны, ядро 2.4 из ALM2.2 (как и сам 2.2) действительно уже не поддерживается. Это не по теме, но в качестве уточнения во избежание... -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/
Sergey пишет:
> On Wednesday 01 November 2006 15:37, Yuri V. Anikin wrote:
>
>> Основные задачи:
>> доступность вэб-сервера, подключенного к eth0 (DMZ) с обоих внешних
>> интерфейсов и "укорачивание" маршрутов до пиринговых сетей 2-го провайдера.
>
> Предполагается доступность именно по любому адресу, или у сервера будет
> просто два имени (www1 и www2 к примеру) ?
>
Предполагается, что имя www.mec.tgl.ru соответствует двум IP-адресам:
195.209.85.33 и 85.112.43.86 и данный сервер доступен с обоих аплинков.
--
С уважением,
главный инженер
МОУ ДПОС "Центр медиаобразования"
Юрий Аникин
On Thu, Nov 02, 2006 at 11:59:42AM +0400, Sergey wrote: > > Основные задачи: > > доступность вэб-сервера, подключенного к eth0 (DMZ) с обоих > > внешних интерфейсов и "укорачивание" маршрутов до пиринговых > > сетей 2-го провайдера. > Предполагается доступность именно по любому адресу, или у > сервера будет просто два имени (www1 и www2 к примеру) ? Ну сделайте разные VIEW в bind9, если получается. -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/
"Yuri V. Anikin" пишет: >> На 2.6 наверно лучше перейти. 2.4 больше вроде официально не >> поддерживается. > Дополнительное уточнение: на этой машине (P-166/192MB)стоит Мастер 2.2 с > обновлениями. Переход на Compact 3.0 (ядро 2.6), как Вы понимаете, > затруднителен. Понимаю, но помочь в этом конечно не могу. Просто заметил. >> #echo "rp_filter=0" >> /etc/net/ifaces/eth2/sysctl.conf не оно? Да, там же net-scripts... Это для etcnet. > Если только по sysctl -a |grep rp_filter : > net.ipv4.conf.eth2.rp_filter = 1 > net.ipv4.conf.eth1.rp_filter = 1 > net.ipv4.conf.eth0.rp_filter = 1 > net.ipv4.conf.lo.rp_filter = 1 > net.ipv4.conf.default.rp_filter = 1 > net.ipv4.conf.all.rp_filter = 1 > > Выставить данные параметры в /etc/sysctl.conf в значение "0"? Вроде толку не будет, т.к. /e/sysctl.conf читается при загрузке (может даже до поднятия сети). Скорее уж echo 'SYSCTL_RP_FILTER=0' >> /etc/sysconfig/network-scripts/ifcfg-eth2 чтобы при поднятий интерфейса ставилось. -- С уважением, системный администратор ООО "Крастел", Терешков Евгений.
В сообщении от Четверг 02 Ноябрь 2006 16:04 Evgenii Terechkov написал(a):
> Вроде толку не будет, т.к. /e/sysctl.conf читается при загрузке (может даже
> до поднятия сети).
>
> Скорее уж echo 'SYSCTL_RP_FILTER=0' >>
> /etc/sysconfig/network-scripts/ifcfg-eth2 чтобы при поднятий интерфейса
> ставилось.
в /etc/sysctl.conf прописано net.ipv4.conf.default.rp_filter = 1
поправить на ноль и сделать sysctl -w net.ipv4.conf.default.rp_filter=0
--
emp
[-- Attachment #1: Type: text/plain, Size: 2133 bytes --] On Wed, Nov 01, 2006 at 03:37:03PM +0400, Yuri V. Anikin wrote: > 32758: from 195.209.85.33 lookup MCN > 32759: from 85.112.43.86 lookup VGT > 32760: from 195.209.85.33 lookup MCN > 32761: from 85.112.43.86 lookup VGT зачем столько копий? ядрышко остановится на первом совпадении, а дальше не пойдет. > default via 195.209.85.34 dev eth1 ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ откуда бы не пришёл пакет, ответ идет всегда через eth1. а следовательно, если у нас SNAT, то ответ пойдет с другого ip, а значит обрыв соединения > 5) Iptables настроен на NAT и forwarding 80 порта в DMZ-сеть 192.168.0.0 вот у меня именно этого оказалось мало, пришлось отдельно указывать netfilter, что если пакет пришёл с другого интерфейса, отвечать по нему же. для входящий подключений это выглядело так: iptables -t mangle -A INPUT -i eth1 -j CONNMARK --set-mark 0x200 // используется именно CONNMARK, а не MARK, так как после проглатывания // подключения ядром, весь sk_buf с MARK усрет, и для INPUT // сгененирируется новый пакет, с пустым MARK. // CONNMARK же ставиться на подкюлчение и хранится независимо iptables -t mangle -A OUTPUT -m connmark --mark 0x200 -j MARK --set-mark 0x200 // а вот здесь уже проставляется именно netfilter mark на освное инфы из // connection tracking // цепочка именно OUTPUT, так как в POSTROUTING вычесление маршрута и // исходящего eth уже будет произведено ip rule add pref 10000 fwmark 0x200 table PASSIVEETH ip route add table PASSIVEETH add default via <что там надо> для сквозных пакетов работать надо с цепочкой FORWARD: на -i eth1 ставить CONNMARK, на -i eth2 ставить условие -m connmark --mark > 6) Ядро 2.4.20-alt12-up должно и тут работать > В /var/log/kernel/warnings сыпятся сообщения файрвола о "марсианских > источниках". Соображения? а вот про это сообразить не могу. сообщаения о марсионцах валятся, если обратный маршрут (проверка включается/выключается через rc_filter) не совпадает с входящим интерфейсом. в принципе логично: пришло по eth1, ответ идет по eth0. типичный марсианин :) -- С уважением Афанасов Дмитрий [-- Attachment #2: Digital signature --] [-- Type: application/pgp-signature, Size: 189 bytes --]
[-- Attachment #1: Type: text/plain, Size: 838 bytes --] On Thu, Nov 02, 2006 at 02:41:31PM +0400, Yuri V. Anikin wrote: > Evgenii Terechkov пишет: > > #echo "rp_filter=0" >> /etc/net/ifaces/eth2/sysctl.conf не оно? > > Если только по sysctl -a |grep rp_filter : > net.ipv4.conf.eth2.rp_filter = 1 > net.ipv4.conf.eth1.rp_filter = 1 > net.ipv4.conf.eth0.rp_filter = 1 > net.ipv4.conf.lo.rp_filter = 1 > net.ipv4.conf.default.rp_filter = 1 > net.ipv4.conf.all.rp_filter = 1 > > Выставить данные параметры в /etc/sysctl.conf в значение "0"? марсианцы не причина, а следствие. выключая rp_filter выключается только варнинг. а ответ-то всё равно будет идти с другого интерфейса: в default via поди src стоит, да и SNAT прописан на все пакеты. в сторону: что-то я своих писем тут не вижу. то ли не доходят до рассылки, то ли до меня... -- С уважением Афанасов Дмитрий [-- Attachment #2: Digital signature --] [-- Type: application/pgp-signature, Size: 189 bytes --]
В сообщении от Четверг 02 Ноябрь 2006 17:14 ender@atrus.ru написал(a):
> > Выставить данные параметры в /etc/sysctl.conf в значение "0"?
> марсианцы не причина, а следствие. выключая rp_filter выключается только
> варнинг. а ответ-то всё равно будет идти с другого интерфейса: в default
включается не только варнинг. реально пакеты неходят.
--
emp
On Thursday 02 November 2006 14:51, Yuri V. Anikin wrote:
> Предполагается, что имя www.mec.tgl.ru соответствует двум IP-адресам:
> 195.209.85.33 и 85.112.43.86 и данный сервер доступен с обоих аплинков.
Это не сильно хороший вариант.
1. При пропадании одного канала сервер будет доступен через раз.
2. Трафик временами будет ходить неоптимально. Особенно, если
посетители планируются местные.
--
С уважением, Сергей
a_s_y@sama.ru
On Thursday 02 November 2006 14:52, Michael Shigorin wrote:
> > Предполагается доступность именно по любому адресу, или у
> > сервера будет просто два имени (www1 и www2 к примеру) ?
>
> Ну сделайте разные VIEW в bind9, если получается.
Это, всё равно, не решит проблему доступности при отвале канала.
Хотя, на самом деле, если ориентироваться на борьбу только с
продолжительными проблемами, изменение адреса в DNS - это выход.
--
С уважением, Сергей
a_s_y@sama.ru
Здравствуйте! есть сервер, к которому подключены 2 модема (Sirius). Получается 2 ppp интерфейса. Какие существуют средства для объединения 2 каналов в один?
Serge wrote: > Здравствуйте! Hi! > есть сервер, к которому подключены 2 модема (Sirius). Получается 2 ppp > интерфейса. > Какие существуют средства для объединения 2 каналов в один? О, я не один! Запускал такое на ALM 2.4 через /etc/inittab - ничего специфического, кроме настройки pppd. Ключевое слово - multilink. # cat /etc/ppp/options.sirius.multilink nodetach modem crtscts asyncmap 00000000 noipdefault defaultroute user XXsiriusXX debug ktune kdebug 0 ipcp-accept-remote silent lcp-echo-interval 60 lcp-echo-failure 3 maxfail 0 lcp-restart 1 novj novjccomp noccp multilink В /etc/ppp два симлинка, options.ttyS0 и options.ttyS1 на options.sirius.multilink, и в довершение # cat /etc/inittab | fgrep pppd p1:2345:respawn:/usr/sbin/pppd ttyS0 115200 p2:2345:respawn:/usr/sbin/pppd ttyS1 115200 Всё это работало в Донецке, но, честно говоря, лучше бы оно не работало. Проблема в том, что две линии не были эквивалентны - одна "падала" существенно чаще, чем другая, и это автоматически "роняло" multilink-соединение :-( В конце концов пришлось "расцепить" multilink-соединение на два отдельных и повозиться с policy routing, чтобы через более падучий Сириус ходил менее критичный трафик. И только с переходом на ADSL ОГО я забыл номер службы поддержки. -- // AB1002-UANIC
On Monday 27 November 2006 12:27, Andrei Bulava wrote:
> В конце концов пришлось "расцепить" multilink-соединение на два
> отдельных и повозиться с policy routing,
Есть такая штука: Equal Cost Multi Path. Оно проще. Трафик не делится,
правда, но используются оба канала и падение одного достаточно легко
переживается. Правда вот не знаю, как оно в Linux. Момент один: интерфейсы
должны честно падать. С ppp, как раз, должно быть всё хорошо, а вот если
Ethernet, канал пропадает, а интерфейс жив, то будет плохо.
--
С уважением, Сергей
a_s_y@sama.ru
Andrei Bulava wrote:
>>есть сервер, к которому подключены 2 модема (Sirius). Получается 2 ppp
>>интерфейса.
>>Какие существуют средства для объединения 2 каналов в один?
>>
>>
>
>О, я не один! Запускал такое на ALM 2.4 через /etc/inittab - ничего
>специфического, кроме настройки pppd. Ключевое слово - multilink.
>
>
>
Ты не один, ага :) И специфическое есть, к сожалению. У меня 10 штук в
связке их было. Интересное занятие, доложу я вам :) Проблема в том, что
в multilink ppp есть так называемый host ppp, который цепляется первый и
все остальные цепляются к нему уже. Соответственно, возникают такие
ситуации:
1. host-ом нужно опеределить кого-то одного, иначе они будут драться за
это и глючить.
2. при отваливании host-а отваливается всё
3. при неработающем канале для host ppp не работает ничего нормально.
В последнем etcnet, кстати, в примерах моих (Complex что-то там) есть
как раз для 10 Сириусов конфиги :) Но автоматом там только ppp0 стартует.
В сообщении от 27 ноября 2006 14:42 Andrew Kornilov написал(a):
> Andrei Bulava wrote:
> >>есть сервер, к которому подключены 2 модема (Sirius). Получается 2 ppp
> >>интерфейса.
> >>Какие существуют средства для объединения 2 каналов в один?
> >
> >О, я не один! Запускал такое на ALM 2.4 через /etc/inittab - ничего
> >специфического, кроме настройки pppd. Ключевое слово - multilink.
>
> Ты не один, ага :) И специфическое есть, к сожалению. У меня 10 штук в
> связке их было. Интересное занятие, доложу я вам :) Проблема в том, что
> в multilink ppp есть так называемый host ppp, который цепляется первый и
> все остальные цепляются к нему уже. Соответственно, возникают такие
> ситуации:
> 1. host-ом нужно опеределить кого-то одного, иначе они будут драться за
> это и глючить.
> 2. при отваливании host-а отваливается всё
> 3. при неработающем канале для host ppp не работает ничего нормально.
>
> В последнем etcnet, кстати, в примерах моих (Complex что-то там) есть
> как раз для 10 Сириусов конфиги :) Но автоматом там только ppp0 стартует.
понял.
спасибо за объяснение!
Andrew Kornilov wrote: > У меня 10 штук в связке их было. Интересное занятие, доложу я вам :) > Проблема в том, что в multilink ppp есть так называемый host ppp, > который цепляется первый и все остальные цепляются к нему уже. > Соответственно, возникают такие ситуации: > > 1. host-ом нужно опеределить кого-то одного, иначе они будут драться > за это и глючить. Как определить? (что писать в /etc/ppp/options.ttySX ?) > 2. при отваливании host-а отваливается всё 3. при неработающем канале > для host ppp не работает ничего нормально. Как раз это я прочувствовал на собственном опыте :-\ -- // AB1002-UANIC
Andrei Bulava wrote: >>1. host-ом нужно опеределить кого-то одного, иначе они будут драться >>за это и глючить. >> >> > >Как определить? (что писать в /etc/ppp/options.ttySX ?) > > А вроде как и никак. Кто первый встал, того и тапки. (linkparam and/or ipparam влияют на то, к кому цепляться, если разные наборы есть). Соотвественно, когда два и более одновременно пытаются это сделать, результат непредсказуем. У меня бывало и два ppp с одинаковыми адресами и тп. Соответственно, все глючило. В общем, мучался я с этим долго. Для себя определил следующее: 1. Выбираем стабильную линию (хотя в том месте такого понятия не было:), её используем в качестве host ppp. То бишь, автоматом стартуем только её сначала. 2. После её старта запускаем все остальные ppp. 3. Мониторим их все подряд. 3.1. Причем для всех, кроме host ppp, это заключается в тупом рестарте их. Лучше на monit это повесить, чтобы репортить ну и чтобы не рестартить их всю жизнь, если проблемы с линией и модемом 3.2. При отпадании host ppp прибиваем все остальные ppp (они могут и залипнуть на некоторое время), перезапускаем host ppp и опять входим в этот цикл. > > >>2. при отваливании host-а отваливается всё 3. при неработающем канале >>для host ppp не работает ничего нормально. >> >> > >Как раз это я прочувствовал на собственном опыте :-\ > > > А как я это почувствовал. Был основной безлимитный канал :-/ В общем, если у вас не идеальные линии, то мой вам всем совет, как можно быстрее избавиться от этого украинского чуда :)
Andrew Kornilov wrote: > Andrei Bulava wrote: <skip /> >>> 2. при отваливании host-а отваливается всё 3. при неработающем канале >>> для host ppp не работает ничего нормально. >>> >> Как раз это я прочувствовал на собственном опыте :-\ >> > А как я это почувствовал. Был основной безлимитный канал :-/ В общем, > если у вас не идеальные линии, то мой вам всем совет, как можно быстрее > избавиться от этого украинского чуда :) +1 ADSL ОГО на невзрачных с виду ADSL-модемах ISKRATEL Callisto 821+ уже почти год работает без нареканий на _той_ _же_ линии, которой брезговал "Сириус". -- // AB1002-UANIC
На календаре было: Вторник, 28 Ноябрь 2006 года, Andrei Bulava писал(а) в сообщении: AB == Andrei Bulava AB> ADSL ОГО на невзрачных с виду ADSL-модемах ISKRATEL Callisto 821+ уже AB> почти год работает без нареканий на _той_ _же_ линии, которой брезговал AB> "Сириус". У них разные способы модуляции, и опять же разная топология ... Скорее всего, второй конец линии ОГО расположен к вам ближе ... Хотя, и не обязательно .... Но частотные диапазоны у "Сириус" и ISKRATEL не совпадают, что не может не радовать ... У меня какая-то мыльница от Зуха, но вот уже два месяца пыхтит, и еще ни разу не жаловались ... Правда, помониторив порты сын мой сказал, что из под Вынь он в сеть не полезет ... Загажено до безобразия .... :) -- Best regards, Dmitriy L. Kruglikov .--. Dmitriy.Kruglikov_at_orionagro.com.ua |@_@ | DKR6-RIPE |!_/ | ICQ# 13047326 // \ \ XMPP:dkr6@jabber.ru (| | ) /'\_ _/`\ Powered by Linux \___)=(___/ -- Мысль -- Всякий, кто удаляется от идей, в конце концов остается при одних ощущениях. -- Гете
Доброго времени суток, коллеги. Прошу коллективного разума для анализа и приведения в удобоваримое состояние нескольких идей, описанных в статье: http://www.freesource.info/wiki/DmitriyKruglikov/Raznoe/etcmirror За ранее прошу сильно не пинать ногами... :) -- Best regards, Dmitriy L. Kruglikov .--. Dmitriy.Kruglikov_at_orionagro.com.ua |@_@ | DKR6-RIPE |!_/ | ICQ# 13047326 // \ \ XMPP:dkr6@jabber.ru (| | ) /'\_ _/`\ Powered by Linux \___)=(___/ -- Мысль -- - Что такое муж? - Это заместитель любовника по хозяйственной части.
[-- Attachment #1: Type: text/plain, Size: 463 bytes --] Dmitriy L. Kruglikov пишет: > Доброго времени суток, коллеги. > > Прошу коллективного разума для анализа и приведения в > удобоваримое состояние нескольких идей, > описанных в статье: > http://www.freesource.info/wiki/DmitriyKruglikov/Raznoe/etcmirror > > За ранее прошу сильно не пинать ногами... :) Делал нечто подобное штатными средствами subversion. Сейчас думаю, как сделать данное нечто на основе git... -- С уважением. Алексей. [-- Attachment #2: OpenPGP digital signature --] [-- Type: application/pgp-signature, Size: 550 bytes --]
На календаре было: Среда, 29 Ноябрь 2006 года, Aleksey Avdeev писал(а) в сообщении: AA == Aleksey Avdeev AA> Делал нечто подобное штатными средствами subversion. Сейчас думаю, как AA> сделать данное нечто на основе git... Я ставил себе задачу: обеспечить работоспособность минимальными средствами ... Приведенные скрипты будут работать практически всегда, а все остальное - под сомнением ... А вдруг чего сломается ? :) Кроме того, предполагается, что эти скрипты будут работать в консольном режиме, при загрузке с восстановительного диска (флешки) ... Идея такая: 1) "Содрать" образы файловых систем и перенести их на новый винт. 2) "Содрать" настройки и получить некоторое количество шаблонов. 3) Выбрать нужный шаблон и из него сделать новый /etc/* ... Как-то не хочется мне заморачиваться со сложными инструментами ... Хотя, конечно, каждому своё :) -- Best regards, Dmitriy L. Kruglikov .--. Dmitriy.Kruglikov_at_orionagro.com.ua |@_@ | DKR6-RIPE |!_/ | ICQ# 13047326 // \ \ XMPP:dkr6@jabber.ru (| | ) /'\_ _/`\ Powered by Linux \___)=(___/ -- Мысль -- У вас еще лапша на ушах не обсохла
[-- Attachment #1: Type: text/plain, Size: 1174 bytes --] Dmitriy L. Kruglikov пишет: > На календаре было: Среда, 29 Ноябрь 2006 года, > Aleksey Avdeev писал(а) в сообщении: > > AA == Aleksey Avdeev > > AA> Делал нечто подобное штатными средствами subversion. Сейчас думаю, как > AA> сделать данное нечто на основе git... > > Я ставил себе задачу: обеспечить работоспособность минимальными средствами ... > Приведенные скрипты будут работать практически всегда, > а все остальное - под сомнением ... А вдруг чего сломается ? :) > Кроме того, предполагается, что эти скрипты будут работать в консольном режиме, > при загрузке с восстановительного диска (флешки) ... > Идея такая: > 1) "Содрать" образы файловых систем и перенести их на новый винт. > 2) "Содрать" настройки и получить некоторое количество шаблонов. > 3) Выбрать нужный шаблон и из него сделать новый /etc/* ... > > Как-то не хочется мне заморачиваться со сложными инструментами ... Резонно. У меня цели несколько другие: 1) получение образа системы для заданной точки в её истории; 2) простая работа с образами в стороне от целевого ящика; > > Хотя, конечно, каждому своё :) +1 -- С уважением. Алексей. [-- Attachment #2: OpenPGP digital signature --] [-- Type: application/pgp-signature, Size: 550 bytes --]
На календаре было: Среда, 29 Ноябрь 2006 года, Aleksey Avdeev писал(а) в сообщении: AA == Aleksey Avdeev AA> У меня цели несколько другие: AA> 1) получение образа системы для заданной точки в её истории; Ну дык ... Первый скрипт так и делает ... Получаем снимок текущего состояния, а если оно отличалось от предыдущего, то в отдельный каталог выкладывается дифферент ... AA> 2) простая работа с образами в стороне от целевого ящика; Что именно подразумевается под термином "простая работа с образами" ? У меня в планах есть написание ГУя для работы с шаблонами... Предполагается выбор шаблона, выбор модулей (сервисов) из шаблона и, в графическом режиме, изменение настроек ... Внешне, похоже на Yast ... Но доброе внутри ... Предполагается, что измененный шаблон можно применить к /etc или сохранить как новый шаблон. Мы говорим об одном и том же ? -- Best regards, Dmitriy L. Kruglikov .--. Dmitriy.Kruglikov_at_orionagro.com.ua |@_@ | DKR6-RIPE |!_/ | ICQ# 13047326 // \ \ XMPP:dkr6@jabber.ru (| | ) /'\_ _/`\ Powered by Linux \___)=(___/ -- Мысль -- Кто тяжело работает - тот тяжело отдыхает
[-- Attachment #1: Type: text/plain, Size: 1584 bytes --] Dmitriy L. Kruglikov пишет: > На календаре было: Среда, 29 Ноябрь 2006 года, > Aleksey Avdeev писал(а) в сообщении: > > AA == Aleksey Avdeev > > AA> У меня цели несколько другие: > AA> 1) получение образа системы для заданной точки в её истории; > Ну дык ... Первый скрипт так и делает ... > Получаем снимок текущего состояния, а если оно отличалось от предыдущего, > то в отдельный каталог выкладывается дифферент ... > > AA> 2) простая работа с образами в стороне от целевого ящика; > Что именно подразумевается под термином "простая работа с образами" ? > > У меня в планах есть написание ГУя для работы с шаблонами... > Предполагается выбор шаблона, выбор модулей (сервисов) из шаблона и, > в графическом режиме, изменение настроек ... > Внешне, похоже на Yast ... Но доброе внутри ... > Предполагается, что измененный шаблон можно применить к /etc или сохранить > как новый шаблон. > > Мы говорим об одном и том же ? Не совсем. На написание всего хозяйства с 0 я не замахиваюсь: не хватит ни времени, ни терпежа, ни желания. Собираюсь в очередной раз влезть на плечи гигантов. :-) То что я собираюсь сделать -- не более чем средство положить некий список файлов (с сохранением прав/владельцев) в систему контроля версий (и удобно вытащить из оной). + средство создания данного списка на основе простых шаблонов. Всё. Вся остальная работа -- средствами использованной системы контроля версий. Благо, пишут их люди разбирающиеся в данном вопросе. :-) Зачем мне дублировать их работу? ;-) -- С уважением. Алексей. [-- Attachment #2: OpenPGP digital signature --] [-- Type: application/pgp-signature, Size: 550 bytes --]
Здравствуйте! В сообщении от Среда 29 Ноябрь 2006 12:44 Dmitriy L. Kruglikov написал(a): > Доброго времени суток, коллеги. > > Прошу коллективного разума для анализа и приведения в > удобоваримое состояние нескольких идей, > описанных в статье: > http://www.freesource.info/wiki/DmitriyKruglikov/Raznoe/etcmirror Для поставленой задачи хорошее решение. А вот если комп уже оброс всякими bind, spamassassin и прочие , что держат настройки в var.. Надо бы и на var это дело натравить. Только вот там много всего , надо бы выборочно. Мне если надо перенести настройки (обычно единичная работа- сервер на новое железо ), я обычно targz-ую etc, var, opt , беру дампы баз тащу на новый установленный сервер. Даллее все потихоньку приводится к необходимому виду. Работа ручная и нудная. Вот бы как-то и это учесть для какой никакой автоматизации. -- With my best regards to you !! http://rusarchives.ru http://rgantd.ru http://victory.rusarchives.ru SilverFox@rgantd.ru
На календаре было: Среда, 29 Ноябрь 2006 года, Anatoliy Lisjutin писал(а) в сообщении: AL == Anatoliy Lisjutin AL> А вот если комп уже оброс всякими bind, spamassassin и прочие , что держат AL> настройки в var.. Хорошая мысль ... Я ее подумаю .... Спасибо ... -- Best regards, Dmitriy L. Kruglikov .--. Dmitriy.Kruglikov_at_orionagro.com.ua |@_@ | DKR6-RIPE |!_/ | ICQ# 13047326 // \ \ XMPP:dkr6@jabber.ru (| | ) /'\_ _/`\ Powered by Linux \___)=(___/ -- Мысль -- Не говори всегда что знаешь, но знай всегда что говоришь. -- Клавдий
29 ноября 2006 12:44, Dmitriy L. Kruglikov написал: > Доброго времени суток, коллеги. > > Прошу коллективного разума для анализа и приведения в > удобоваримое состояние нескольких идей, > описанных в статье: > http://www.freesource.info/wiki/DmitriyKruglikov/Raznoe/etcmirror > > За ранее прошу сильно не пинать ногами... :) Очень часто "на лету" пишется что-то вроде: umask 0077 NROTATE=60 DIRNAME="/mnt/2/BackUps/etc" EXCLUDE="" BACKUP_FILES="/etc/" FILENAME_PREFIX="etc" FILENAME_SUFFIX='.tar' FILENAME_SUFFIX_C='.tar.gz' tar cf $DIRNAME/.$FILENAME_PREFIX.$$$FILENAME_SUFFIX $EXCLUDE $BACKUP_FILES >/dev/null 2>&1 gzip -9 $DIRNAME/.$FILENAME_PREFIX.$$$FILENAME_SUFFIX if [ "$?" -eq "0" ]; then i=$NROTATE while [ $i -gt 1 ]; do /bin/mv -f $DIRNAME/$FILENAME_PREFIX.`printf "%03d" $[$i-1]`$FILENAME_SUFFIX_C \ $DIRNAME/$FILENAME_PREFIX.`printf "%03d" $i`$FILENAME_SUFFIX_C 2>/de v/null let i-=1 done /bin/mv -f $DIRNAME/.$FILENAME_PREFIX.$$$FILENAME_SUFFIX_C \ $DIRNAME/$FILENAME_PREFIX.`printf "%03d" 1`$FILENAME_SUFFIX_C fi Идея в том, что будут создаваться в указанной папке архивы указанных каталогов (в примере - etc), при этом имена файлов будут вида "etc.001.tar.gz", и количество файлов не превысит заданного (60), при этом самый свежий будет с наименьшим номером, т.е. будет rotate. Не используется CVS? Diff? А зачем? Для таких небольших объемов можно позволить себе сохранять все - а уж насколько это, IMHO, удобнее... -- ABATAPA
На календаре было: Среда, 29 Ноябрь 2006 года, ABATAPA писал(а) в сообщении: A == ABATAPA A> Для таких небольших объемов можно A> позволить себе сохранять все - а уж насколько это, IMHO, удобнее... Идея не в том, чтобы сохранить "все", а в том, чтобы получить только те файлы, которые несут некую смысловую информацию ... На "новом" сервере "все" будет таким же точно ... Нет смысла его носить туда-сюда ... А теперь я буду долго думать над теми шаманскими письменами.... :) Я пока в клинописи не сильно шарю ... -- Best regards, Dmitriy L. Kruglikov .--. Dmitriy.Kruglikov_at_orionagro.com.ua |@_@ | DKR6-RIPE |!_/ | ICQ# 13047326 // \ \ XMPP:dkr6@jabber.ru (| | ) /'\_ _/`\ Powered by Linux \___)=(___/ -- Мысль -- Когда кто-то удивился, как он смог выступить с речью совсем без подготовки, он объяснил: "Я готовился к ней всю жизнь". -- А.Круглов
On Wed, Nov 29, 2006 at 06:04:46PM +0300, ABATAPA wrote: > Не используется CVS? Diff? А зачем? Для таких небольших объемов можно > позволить себе сохранять все - а уж насколько это, IMHO, удобнее... Угу -- можно себе позволить носить CVSROOT на флешке, скажем. Требует некоей дисциплины, но не большей, чем для разбору с этими бекапами, наверное :-) > -- > ABATAPA -- _,-=._ /|_/| `-.} `=._,.-=-._., @ @._, `._ _,-. ) _,.-' ` G.m-"^m`m' Dmytro O. Redchuk
29 ноября 2006 18:27, Dmytro O. Redchuk написал:
> Угу -- можно себе позволить носить CVSROOT на флешке, скажем.
>
> Требует некоей дисциплины, но не большей, чем для разбору с этими
> бекапами, наверное :-)
Требует не только этого. Требует или наличия cvs и иже с ним на сервере (а
зачем это там?!), или - долго и нудно "cvs-ить" руками. tar есть ВЕЗДЕ. Как и
gzip.
--
ABATAPA
On Wed, Nov 29, 2006 at 07:01:21PM +0300, ABATAPA wrote: > 29 ноября 2006 18:27, Dmytro O. Redchuk написал: > > Угу -- можно себе позволить носить CVSROOT на флешке, скажем. > > > > Требует некоей дисциплины, но не большей, чем для разбору с этими > > бекапами, наверное :-) > Требует не только этого. Требует или наличия cvs и иже с ним на сервере (а Да, cvs на сервере не всегда нужен. (А что такое "иже с ним"?-) Но для этого можно и :-) > зачем это там?!), или - долго и нудно "cvs-ить" руками. tar есть ВЕЗДЕ. Как и > gzip. Можно и не, разумеется :-) Кому что проще -- кому-то писать скрипты, кому-то с чужими скриптами разбираться, кому-то cvs нажать пару раз... Жизнь -- штука сложная. Я просто привык уже -- где-то таргзипнуть, где-то сивиэснуть... > -- > ABATAPA -- _,-=._ /|_/| `-.} `=._,.-=-._., @ @._, `._ _,-. ) _,.-' ` G.m-"^m`m' Dmytro O. Redchuk
On Wed, Nov 29, 2006 at 01:59:57PM +0300, Aleksey Avdeev wrote: > > http://www.freesource.info/wiki/DmitriyKruglikov/Raznoe/etcmirror > Делал нечто подобное штатными средствами subversion. Сейчас > думаю, как сделать данное нечто на основе git... Так у них обоих же вроде грабли с правами на файлы. Причём под svn подпорка, которая их хранит в file properties, пробегала, а вот под git пока не слыхал. Хотя первое, что приходит в голову. -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/
On Wed, Nov 29, 2006 at 03:41:35PM +0300, Anatoliy Lisjutin wrote: > Мне если надо перенести настройки (обычно единичная работа- > сервер на новое железо ), я обычно targz-ую etc, var, opt , > беру дампы баз тащу на новый установленный сервер. Даллее все > потихоньку приводится к необходимому виду. Работа ручная и > нудная. Вот бы как-то и это учесть для какой никакой > автоматизации. Есть ещё mkcdrec (у нас к нему стопка диких патчей, из которых обязателен как минимум тот, что про genromfs -- собрать это всё в пакет пока ни малейшей возможности). И SystemImager для более чем одной-двух систем. А вот до чего руки совсем не дошли, так это cfengine. -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/
[-- Attachment #1: Type: text/plain, Size: 791 bytes --] Michael Shigorin пишет: > On Wed, Nov 29, 2006 at 01:59:57PM +0300, Aleksey Avdeev wrote: > >>>http://www.freesource.info/wiki/DmitriyKruglikov/Raznoe/etcmirror >> >>Делал нечто подобное штатными средствами subversion. Сейчас >>думаю, как сделать данное нечто на основе git... > > > Так у них обоих же вроде грабли с правами на файлы. Причём > под svn подпорка, которая их хранит в file properties, пробегала, > а вот под git пока не слыхал. Да. Более того: в git не хранит каталоги, если в них нет файлов... Но уж очень он вкусен, для данной задачи. Думаю в сторону хранения списков с атрибутами файлов/каталогов в альтернативном дереве/бранче... (Дальше "думаю" -- пока не ушёл...) > > Хотя первое, что приходит в голову. -- С уважением. Алексей. [-- Attachment #2: OpenPGP digital signature --] [-- Type: application/pgp-signature, Size: 550 bytes --]
На календаре было: Четверг, 30 Ноябрь 2006 года, Michael Shigorin писал(а) в сообщении: MS == Michael Shigorin MS> Есть ещё mkcdrec (у нас к нему стопка диких патчей, из которых MS> обязателен как минимум тот, что про genromfs -- собрать это всё MS> в пакет пока ни малейшей возможности). И SystemImager для более MS> чем одной-двух систем. MS> MS> А вот до чего руки совсем не дошли, так это cfengine. Ну что вы, господа, все из пушек, та по птичкам ??? Ситуация-то банальнейшая .... :) Может быть мне её так хорошо видно только потому, что я так мало знаю и умею ??? Если задачу можно решить в два притопа и три прихлопа, то зачем еще в бубен колотить ? -- Best regards, Dmitriy L. Kruglikov .--. Dmitriy.Kruglikov_at_orionagro.com.ua |@_@ | DKR6-RIPE |!_/ | ICQ# 13047326 // \ \ XMPP:dkr6@jabber.ru (| | ) /'\_ _/`\ Powered by Linux \___)=(___/ -- Мысль -- Облагораживают не знания, а любовь и стремление к истине, пробуждающиеся в человеке тогда, когда он начинает приобретать знание. В ком не пробудились эти чувства, того не облагородят ни университет, ни обширные сведения, ни дипломы. -- Д.И.Писарев
On Fri, Dec 01, 2006 at 09:09:02AM +0200, Dmitriy L. Kruglikov wrote: > Если задачу можно решить в два притопа и три прихлопа, > то зачем еще в бубен колотить ? От лени. -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/
На календаре было: Пятница, 01 Декабрь 2006 года, Michael Shigorin писал(а) в сообщении: MS == Michael Shigorin MS> > Если задачу можно решить в два притопа и три прихлопа, MS> > то зачем еще в бубен колотить ? MS> MS> От лени. Так в бубен бить и лень .... :) Естественно, каждый использует то, что знает ... Но мне почему-то кажется, что тот, кто способен осилить git|svn|cvs вполне справится и с bash-скриптами ... Вероятно, справедливо и обратное, но я, например, пока и в bash на уровне плинтуса... :( А дело делать нужно ... -- Best regards, Dmitriy L. Kruglikov .--. Dmitriy.Kruglikov_at_orionagro.com.ua |@_@ | DKR6-RIPE |!_/ | ICQ# 13047326 // \ \ XMPP:dkr6@jabber.ru (| | ) /'\_ _/`\ Powered by Linux \___)=(___/ -- Мысль -- С тех пор как мир возник во мгле, Еще никто на всей земле Не предавался сожаленью О том, что отдал жизнь ученью. -- Рудаки
[-- Attachment #1: Type: text/plain, Size: 1284 bytes --] Dmitriy L. Kruglikov пишет: > На календаре было: Пятница, 01 Декабрь 2006 года, > Michael Shigorin писал(а) в сообщении: > > MS == Michael Shigorin > > MS> > Если задачу можно решить в два притопа и три прихлопа, > MS> > то зачем еще в бубен колотить ? > MS> > MS> От лени. > > Так в бубен бить и лень .... :) > Естественно, каждый использует то, что знает ... > Но мне почему-то кажется, что тот, кто способен > осилить git|svn|cvs вполне справится и с bash-скриптами ... У самописных bash-скриптов часты проблемы с масштабированием: пишутся-то они под конкретную задачу, как правило... (В лучшем случаи -- с обобщением на опыт автора.) И если возникает подобная задача, но с условиями/ограничениями неучтёнными при написании скрипта -- не всегда можно обойтись тривиальной правкой... У монстров же (типа git|svn|cvs) громадный диапазон масштабирования: они рассчитаны на те условия, с которыми я, например, не сталкивался и в своих скриптах -- врятли буду рассматривать вообще... Вспоминая про пушку: при достаточном калибре, уже неважно что перед тобой: птички, слон, или танки... > Вероятно, справедливо и обратное, но я, например, пока и в > bash на уровне плинтуса... :( > А дело делать нужно ... -- С уважением. Алексей. [-- Attachment #2: OpenPGP digital signature --] [-- Type: application/pgp-signature, Size: 550 bytes --]
On Wed, Nov 29, 2006 at 11:44:17AM +0200, Dmitriy L. Kruglikov wrote:
> Доброго времени суток, коллеги.
>
> Прошу коллективного разума для анализа и приведения в
> удобоваримое состояние нескольких идей,
> описанных в статье:
> http://www.freesource.info/wiki/DmitriyKruglikov/Raznoe/etcmirror
Когда я работал в support@, у нас висела очень похожая задача.
Вкратце она формулировалась так:
Исходная стуация:
0. От клиента пришла заявка, что что-то не работает на сервере.
1. Админ зашёл на сервер клиента и что-то там правил до тех пор, пока
оно не заработало.
2. Админ выполнил ритуальные действия по:
(a) сохранению изменённого
(b) документированию, что и зачем изменил
(c) закрытию заявки
3. Клиент подтверждает, что работает, заявка снимается
Попытки решить дело CVS-ом привели к бунту на корабле: неудобно
закидывать изменения, повсюду валяются метаданные, документировать
приходится _не_ там, где правил (в TT-системе).
Беда в том, что CVS, GIT и прочее -- это средства в первую очередь
совместной разработки, а никак не бэкапа. Средства же бэкапа, как
правило, имеют первой целью _полное_ восстановление, а не восстановление
конфигов, и, следовательно, жрут трафик так, что ими пользваоться
нельзя.
Соответственно, встала задача автоматизации ритуальных действий
(a) rsync? Наша идея была не в том, чтобы искать какие-то строки, а в
том, чтобы бэкапить _всё_, что изменилось _везде_, где лежат конфиги
минус логи и прочее автоизменяемое. То есть иметь список каталогов для
бэкапа и список исключений, которые бэкапить не надо. А бэкапить каждый
раз разницу плюс изменения в правах доступа.
(b) Сама процедура такого бэкапа должна была автоматически запускать
редактор отчёта (как это длается в CVS со товарищи). Отчёт должен быть
трёх видов: обязательный краткий -- для клиента и закрытия заявки,
автоматический со списком файлов (чтобы было понятно, что изменял) и
необязательный комментированный diff -- если что-то хитромудрое было
проделано.
(c) Затем получившийся пучок отсылался куда-то в хранилище, дабы не
пропадало; в идеале из него должен был вырезаться отчёт #1 и цепляться к
заявке. Без идеала -- copy-paste из веб-морды хранилища.
Бонусом от этого должны были стать:
- документированность конфигов
- возможность подключения к работе _другого_ админа
- полуавтоматическое восстановление конфигов из хранилища (возможно,
даже в виде применения патчей на слегка другой базовой системе)
Но, увы, никто этим не занялся, а кто занялся -- не сделал.
Если вас интересует такая постановка задачи, можно подумать вместе над
развитием etcmirror. Может быть, в виде пары etcmirror+trac...
--
George V. Kouryachy (aka Fr. Br. George)
mailto:george at altlinux_ru
На календаре было: Воскресенье, 03 Декабрь 2006 года, Fr. Br. George писал(а) в сообщении: FBG == Fr. Br. George FBG> Если вас интересует такая постановка задачи, можно подумать вместе над FBG> развитием etcmirror. Может быть, в виде пары etcmirror+trac... Меня интересует: а) Поставить на поток клонирование серверов. б) Поиметь инструмент быстрого восстановления работоспособности. в) Поиметь инструмент настройки системы _минимально_ требующий интеллекта. г) Документирование с актированием выполненных работ так же не повредит. При этом, я хочу получить, в идеале, загрузочный DVD с набором образов и шаблонов настройки. - Загрузиться в режиме LiveCD, разметить чистый диск, развернуть какой-либо образ на новые разделы. - Перезагрузить машину. - Запустить либо графический настройщик, либо дать скриптам пару параметров. - Всё .... Пора пить пиво ... По прошествии времени перегенерить себе бутявочку с новыми образами и шаблонами... Рабочее название - псевдобинарная инсталляция ... При работе клона, по крону, следить за изменением файлов настроек ... Если вдруг чего, получать рапорт на мыль ... Ну и иметь возможность все вернуть в работоспособное состояние. Вижу, что на 80-90 % наши интересы совпадают.... Можно начинать продолжать думать в этом направлении :) -- Best regards, Dmitriy L. Kruglikov .--. Dmitriy.Kruglikov_at_orionagro.com.ua |@_@ | DKR6-RIPE |!_/ | ICQ# 13047326 // \ \ XMPP:dkr6@jabber.ru (| | ) /'\_ _/`\ Powered by Linux \___)=(___/ -- Мысль -- Самодержавие народа - самое страшное самодержавие, ибо воля одного или немногих не может так далеко простирать свои притязания, как воля всех. -- Н.А.Бердяев
Dmitriy L. Kruglikov wrote: > На календаре было: Воскресенье, 03 Декабрь 2006 года, > Fr. Br. George писал(а) в сообщении: > > FBG == Fr. Br. George > > FBG> Если вас интересует такая постановка задачи, можно подумать вместе над > FBG> развитием etcmirror. Может быть, в виде пары etcmirror+trac... > > Меня интересует: > а) Поставить на поток клонирование серверов. > б) Поиметь инструмент быстрого восстановления работоспособности. > в) Поиметь инструмент настройки системы _минимально_ требующий интеллекта. > г) Документирование с актированием выполненных работ так же не повредит. > > При этом, я хочу получить, в идеале, загрузочный DVD > с набором образов и шаблонов настройки. > - Загрузиться в режиме LiveCD, разметить чистый диск, > развернуть какой-либо образ на новые разделы. > - Перезагрузить машину. > - Запустить либо графический настройщик, либо дать скриптам пару параметров. > - Всё .... Пора пить пиво ... > > По прошествии времени перегенерить себе бутявочку с новыми образами и шаблонами... > Рабочее название - псевдобинарная инсталляция ... > > При работе клона, по крону, следить за изменением файлов настроек ... > Если вдруг чего, получать рапорт на мыль ... > Ну и иметь возможность все вернуть в работоспособное состояние. > > > Вижу, что на 80-90 % наши интересы совпадают.... > Можно начинать продолжать думать в этом направлении :) http://www.openqrm.org/ - не оно? -- WBR, Dmitry Lebkov
На календаре было: Воскресенье, 03 Декабрь 2006 года, Dmitry Lebkov писал(а) в сообщении: DL == Dmitry Lebkov DL> http://www.openqrm.org/ - не оно? Братья, ну сколько ж можно объяснять ?!?!?!? Чем проще - тем надежнее и легче .... Неужели, для того, чтоб вскипятить чашку кофе, нужно к центральной звезде системы подлетать? У меня нет ни желания, ни возможности разворачивать супер-пупер-трижды-квадро крутую клиент-серверную инфрастируктуру, только для того, чтоб снять "слепок" со своего ноута, отнести домой и перелить на домашний комп сыну ... Или прийти к клиенту с _одном_ CD/DVD, трижды кликнуть мышкой и ввести новое доменное имя ... Есть моного крутых решений ... Для корпоративного сектора, где число инсталляций характеризуется трех-значными числами... Или для фирм, которые пекут и продают сервера и рабочие станции десятками и сотнями в день (пошел бы туда работать)... Но у меня всего три с половиной рабочки... А в городе, во всем городе, совместными усилиями, число инсталляций еще не перевалило за пол-сотни ... Так зачем мне такое нагромождение ??? Для того, чтоб при очередном обновлении какой-нить перловки у меня все накрылось медным тазом? Я уж поостерегусь таких монстров разворачивать, потому как мой уровень недостаточен, а в нашей рассылке мало кто пользуется, и на помощь рассчитывать не получается ... -- Best regards, Dmitriy L. Kruglikov .--. Dmitriy.Kruglikov_at_orionagro.com.ua |@_@ | DKR6-RIPE |!_/ | ICQ# 13047326 // \ \ XMPP:dkr6@jabber.ru (| | ) /'\_ _/`\ Powered by Linux \___)=(___/ -- Мысль -- С теоретиком поговори, да сам сообрази. -- П.Л.Капица
Dmitriy L. Kruglikov wrote: > На календаре было: Воскресенье, 03 Декабрь 2006 года, > Dmitry Lebkov писал(а) в сообщении: > > DL == Dmitry Lebkov > > DL> http://www.openqrm.org/ - не оно? > > Братья, ну сколько ж можно объяснять ?!?!?!? > Чем проще - тем надежнее и легче .... > Неужели, для того, чтоб вскипятить чашку кофе, > нужно к центральной звезде системы подлетать? Ну можно попытаться посмотреть на http://reductivelabs.com/projects/puppet/ и на основе этого что-нить придумать ... ;) -- WBR, Dmitry Lebkov
На календаре было: Воскресенье, 03 Декабрь 2006 года, Dmitry Lebkov писал(а) в сообщении: DL == Dmitry Lebkov DL> Ну можно попытаться посмотреть на http://reductivelabs.com/projects/puppet/ DL> и на основе этого что-нить придумать ... ;) Puppet is written entirely in Ruby. Для меня - это уже приговор ... Я на Ruby ничего придумать не смогу ... :( Из всех языков программирования я знаю только говяжий и свиной ... Ну и телячий, как лайт-версию говяжьего ... :) Куда уж мне в железнодорожники .... И опять же, малейшие сбои в нашем Сизифе, и вся система идет лесом ... В постановке задачи первым пунктом стоит надежность и непотопляемость... -- Best regards, Dmitriy L. Kruglikov .--. Dmitriy.Kruglikov_at_orionagro.com.ua |@_@ | DKR6-RIPE |!_/ | ICQ# 13047326 // \ \ XMPP:dkr6@jabber.ru (| | ) /'\_ _/`\ Powered by Linux \___)=(___/ -- Мысль -- Один доктор может, пожалуй, вылечить вас от болезни, но два доктора вылечат вас от желания лечиться. -- Старинный афоризм
> У меня нет ни желания, ни возможности разворачивать
> супер-пупер-трижды-квадро крутую клиент-серверную
> инфрастируктуру, только для того, чтоб снять "слепок"
> со своего ноута, отнести домой и перелить
> на домашний комп сыну ...
> Или прийти к клиенту с _одном_ CD/DVD, трижды кликнуть
> мышкой и ввести новое доменное имя ...
cp -ax - не помогает ?
Я обычно так делаю, если нужно обновить версию альта дома.
А если нужно актуальную копию (БД, скажем, крутится и нужно,
чтобы она поднялась сразу) - LVM,
На календаре было: Вторник, 05 Декабрь 2006 года, Gennadiy Redko писал(а) в сообщении: GR == Gennadiy Redko GR> cp -ax - не помогает ? Маловато будет .... Хочу простой и надежный инструмент развертывания "образа" на новый, свежеразмеченый, диск ... С последующей подстройкой его на новое доменное имя и адрес... -- Best regards, Dmitriy L. Kruglikov .--. Dmitriy.Kruglikov_at_orionagro.com.ua |@_@ | DKR6-RIPE |!_/ | ICQ# 13047326 // \ \ XMPP:dkr6@jabber.ru (| | ) /'\_ _/`\ Powered by Linux \___)=(___/ -- Мысль -- Старость избавляет нас от многих искушений чувственности, возвышает нас над разочарованиями юности и внушает нам ту тихую покорность, которая не требует от мира более того, что он нам может дать. -- Ф.Кирхнер
Dmitriy L. Kruglikov пишет: > На календаре было: Вторник, 05 Декабрь 2006 года, > Gennadiy Redko писал(а) в сообщении: > > GR == Gennadiy Redko > > GR> cp -ax - не помогает ? > Маловато будет .... > Хочу простой и надежный инструмент развертывания "образа" > на новый, свежеразмеченый, диск ... Если опустить сложности с загрузчиком и разметкой, то "cp" и есть "простой и надежный инструмент". > С последующей подстройкой его на новое доменное имя и адрес... > > В альтовских mini-howto есть вот такое руководство: file:///usr/share/doc/HOWTO/HTML/ru/mini/Hard-Disk-Upgrade/index.html По его следам можно скрипт написать, если не хочется руками. Конечно, если бекап делать на DVD, нужно сливать архивом, чтобы не покорежились метаданные исходной ФС. Я ношу с собой 20G USB-hdd с разделом ext3, поэтому этих проблем не вижу.
На календаре было: Вторник, 05 Декабрь 2006 года, Gennadiy Redko писал(а) в сообщении: GR == Gennadiy Redko GR> Если опустить сложности с загрузчиком и разметкой, то "cp" и есть GR> "простой и надежный инструмент". Как альтернатива - rsync ... Не сложнее :) GR> Конечно, если бекап делать на DVD, нужно сливать архивом, чтобы GR> не покорежились метаданные исходной ФС. Или на флешку .... Или держать на DVD несколько вариантов ... Архивом надежнее и универсальнее ... :) GR> Я ношу с собой 20G USB-hdd с разделом ext3, поэтому этих проблем GR> не вижу. Не для флейма ... Но проблема в том, что мы, практически все, вместо ответа на поставленный вопрос, начинаем убеждать вопрошающего в том, что он делает неправильно, а нужно совершенно иначе ... :) Что, зачастую, приводит к слишком жарким дискуссиям ... Из всех ответов, которые поступили на мой вопрос, единственный полезный был 29 ноября от Anatoliy Lisjutin <SilverFox@mail.rgantd.ru>, о том, что некоторые демоны живут в /var/lib ... Все остальные были полезны для общего развития, но не более ... И, как оказалось, многие советы при ближайшем изучении оказались нежизнеспособными, мягко говоря ... А мне, в данном случае, были нужны именно конструктивные советы, потому как я пытаюсь занырнуть в достаточно сложную для меня область... Всем, откликнувшимся, спасибо за внимание, буду думать дальше... -- Best regards, Dmitriy L. Kruglikov .--. Dmitriy.Kruglikov_at_orionagro.com.ua |@_@ | DKR6-RIPE |!_/ | ICQ# 13047326 // \ \ XMPP:dkr6@jabber.ru (| | ) /'\_ _/`\ Powered by Linux \___)=(___/ -- Мысль -- Все религии основаны на страхе многих и ловкости нескольких. -- Стендаль
Здравствуйте. Вот такая проблема - никак не врублюсь в сабж. Имеем - небольшая сетка (компов 20) шлюз -сизиф, NAT нужно считать траффик на каждый комп, причём не только суммарный, но и по каждому порту отдельно. Т.е. отдельно http (условно 80-83 порты), отдельно почту (25,110), icq (5190) ну и т.д. Следует уточнить, что это - не биллинг, т.е. особая точность тут не важна. сначала было просто у каждого компа - свой ip, по нему и считал через ulog-acctd -> мускул, из мускула собственный скрипт отображал всё как надо. банально на внешнем интерфейсе считался внешний траффик, на внутреннем - считался по внутреннему ip и соответственно разница суммы внутренних и внешнего траффиков считалась собственным траффиком шлюза. Потом появился прозрачный squid для http. Задача усложнилась. теперь не все пакеты, "пойманные" на внутреннем интерфейсе доходили до внешнего, а так-же часть пакетов внутрь приходило не с внешнего интерфейса, а из кеша сквида. стал обрабатывать информацию ulog-acctd с учётом сквидовских логов (что он берёт из кеша, а что - из интернета) Разброд увеличился, но кое-как общая картина-таки отображается. Теперь ещё усложнилась задачка. Появился виндовый терминал-сервер, и несколько клиентов, работающих на нём, имеют один IP на всех. как дальше считать -вообще не пойму. со сквидом ещё кое-как понятно. можно сделать авторизацию. А с остальным? -- С уважением, Алексей Сидоров mailto:alex@reutman.ru JID: alex@reutman.ru ICQ: 5052225
Что есть готового для бекапа кучки данных по сети с возможностью более-менее оперативного восстановления? Нужно чтото типа аманды, но не заточенное под ленточные девайсы (аманду так и не получилось научить бекапить данные на винт,точнее скидывать в некую директорию). fsbackup не подходит - бо изначлаьно он держит данные на локальном винте и только потом передаёт по сети.
>>>>> On 21 Dec 2006 at 13:50 "AG" == Anton Gorlov writes:
AG> некую директорию). fsbackup не подходит - бо изначлаьно он держит данные
AG> на локальном винте и только потом передаёт по сети.
Это не так. Он сразу пишет данные на удалённый хост, локально только список
файлов формирует.
--
vvk
Russian Postfix irc: irc.freenode.net #postfix-ru
21.12.06, Anton Gorlov<stalker@altlinux.ru> написал(а):
> Что есть готового для бекапа кучки данных по сети с возможностью
> более-менее оперативного восстановления?
> Нужно чтото типа аманды, но не заточенное под ленточные девайсы (аманду
> так и не получилось научить бекапить данные на винт,точнее скидывать в
> некую директорию). fsbackup не подходит - бо изначлаьно он держит данные
> на локальном винте и только потом передаёт по сети.
Я вот сейчас пытаюсь смотреть в строну bacula.
--
Alexey Shabalin
Alexey Shabalin пишет:
>> Что есть готового для бекапа кучки данных по сети с возможностью
>> более-менее оперативного восстановления?
>> Нужно чтото типа аманды, но не заточенное под ленточные девайсы (аманду
>> так и не получилось научить бекапить данные на винт,точнее скидывать в
>> некую директорию). fsbackup не подходит - бо изначлаьно он держит данные
>> на локальном винте и только потом передаёт по сети.
> Я вот сейчас пытаюсь смотреть в строну bacula.
Я во тсечас тоже на неё смотрю.. даже чтото получилось бекапить,
осталсоь только привести в порядок конфиги,научится восстанавливать до
определённой даты.. Может обьединим усилия?
Всех с наступающим новым годом. Желаю как можно больше хороших друзей, удачи и побольше здоровья..а остальное - остальное приложится. -- np: silence
Anton Gorlov wrote:
> Всех с наступающим новым годом. Желаю как можно больше хороших друзей,
> удачи и побольше здоровья..а остальное - остальное приложится.
Присоединяюсь!
Дым.
некий готовый минироутер с рулением через веб-морду..нужно от него - в общемто тлоько обсчёт траффика\нат и руление через веб-морду желательно.. Кто\чего встречал готового? -- np: silence
Здравствуйте, Anton. Вы писали 3 января 2007 г., 21:53:38: AG> некий готовый минироутер с рулением через веб-морду..нужно от него AG> Кто\чего встречал готового? http://www.freesource.info/wiki/Stat'i/InternetRouter?v=tmf -- С уважением, Anatol
On Wed, Jan 03, 2007 at 09:53:38PM +0300, Anton Gorlov wrote: > некий готовый минироутер с рулением через веб-морду..нужно от > него - в общемто тлоько обсчёт траффика\нат и руление через > веб-морду желательно.. Кто\чего встречал готового? radlinux.org? (если ты не железку за $40--200 ищешь, конечно) -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/
[-- Attachment #1: Type: text/plain, Size: 362 bytes --] On Wednesday 03 January 2007 21:53, Anton Gorlov wrote: > некий готовый минироутер с рулением через веб-морду..нужно от него - в > общемто тлоько обсчёт траффика\нат и руление через веб-морду желательно.. > Кто\чего встречал готового? Ну openwrt-based любой. С webif^2, если надо. -- Pavlov Konstantin, ALT Linux Team, VideoLAN Team, jid: thresh@altlinux.org [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
Anton Gorlov wrote: > некий готовый минироутер с рулением через веб-морду..нужно от него - в > общемто тлоько обсчёт траффика\нат и руление через веб-морду желательно.. > Кто\чего встречал готового? http://ipcop.org/
На Wed, 03 Jan 2007 21:53:38 +0300
Anton Gorlov <stalker@altlinux.ru> записано:
> некий готовый минироутер с рулением через веб-морду..нужно от
> него - в общемто тлоько обсчёт траффика\нат и руление через
> веб-морду желательно.. Кто\чего встречал готового?
Думаю, что IPCop
Здравствуйте. Я стою перед выбором технологии создания почтового high-availability кластера. Возможно кто-то поделится опытом? Задача: кластеризовать и получить возможность распределения нагрузки на pop3/smtp сервер с авторизацией в ldap. Реплицировать Ldap собираюсь его штатными средствами. Переключаться и делить нагрузку планирую с помощью DNS(время жизни записи вытавить раным 0) Но вот как реплицировать сами почтовые ящики? Смотрел на DRBD, но она не поддерживает одновременной записи на master и на slave. Есть ещё файловые системы позволяющие подобное(OCFS2, GFS, OpenGFS, что-то ещё?), но что из них выбрать? -- Regards, Sergey <rt@altlinux.ru>
18.01.07, Sergey<rt aspirinka.net> написал(а):
> Здравствуйте.
> Но вот как реплицировать сами почтовые ящики? Смотрел на DRBD, но она
> не поддерживает одновременной записи на master и на slave.
Может стоит посмотреть на cyrus-imapd с его murder?
--
С уважением,
Евгений Остапец
uin: 23747217
jid: eugene_ostapets@jabber.ru
День добрый, уважаемые! Вот столкнулся с такой проблемой: в нашей локальной сети анонсировали возможность доступа в личный кабинет пользователя из локальной сети, без поднятия VPN-соединения. Хост с ЛК зовётся ais.atllan.ru. Однако, к нему у меня нет доступа. Вот как это выглядит: ~$ ifconfig 0:09 atl Link encap:Ethernet HWaddr 00:11:95:5C:B3:57 inet addr:10.253.235.197 Bcast:10.255.255.255 Mask:255.0.0.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:128386 errors:0 dropped:0 overruns:0 frame:0 TX packets:1761 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:9112786 (8.6 MiB) TX bytes:376869 (368.0 KiB) Interrupt:177 Base address:0xc000 lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:0 (0.0 b) TX bytes:0 (0.0 b) ~$ ip route show 0:09 80.253.235.3 via 10.0.0.1 dev atl 192.168.0.0/24 via 10.0.0.1 dev atl 10.0.0.0/8 dev atl proto kernel scope link src 10.253.235.197 default via 10.0.0.1 dev atl ~$ cat /etc/resolv.conf 0:10 nameserver 80.253.235.3 search atllan.ru ~$ resolve www.ru 0:11 IP address of www.ru: 194.87.0.50 ~$ ping -c2 ais.atllan.ru 0:11 PING ais.atllan.ru (80.253.235.5) 56(84) bytes of data. --- ais.atllan.ru ping statistics --- 2 packets transmitted, 0 received, 100% packet loss, time 1010ms [1] 5586 exit 1 ping -c2 ais.atllan.ru ~$ ping -c2 80.253.235.3 0:12 PING 80.253.235.3 (80.253.235.3) 56(84) bytes of data. --- 80.253.235.3 ping statistics --- 2 packets transmitted, 0 received, 100% packet loss, time 1002ms [1] 5589 exit 1 ping -c2 80.253.235.3 ~$ traceroute ais.atllan.ru 0:12 traceroute to ais.atllan.ru (80.253.235.5), 30 hops max, 40 byte packets 1 * * * 2 * * * 3 * * * 4 * * * 5 * * * 6 * * * ^C ~$ ping -c2 10.0.0.1 0:13 PING 10.0.0.1 (10.0.0.1) 56(84) bytes of data. 64 bytes from 10.0.0.1: icmp_seq=1 ttl=255 time=0.707 ms 64 bytes from 10.0.0.1: icmp_seq=2 ttl=255 time=0.709 ms --- 10.0.0.1 ping statistics --- 2 packets transmitted, 2 received, 0% packet loss, time 1003ms rtt min/avg/max/mdev = 0.707/0.708/0.709/0.001 ms ~$ ping -c2 192.168.0.1 0:14 PING 192.168.0.1 (192.168.0.1) 56(84) bytes of data. 64 bytes from 192.168.0.1: icmp_seq=1 ttl=254 time=1.42 ms 64 bytes from 192.168.0.1: icmp_seq=2 ttl=254 time=2.86 ms --- 192.168.0.1 ping statistics --- 2 packets transmitted, 2 received, 0% packet loss, time 1000ms rtt min/avg/max/mdev = 1.426/2.146/2.867/0.721 ms DNS работает, хотя и отвечает лишь на 53/udp. Странно, хотя и возможно. До роутера и VPN-сервера доступ есть. Сеть настроена по всем рекомендациям местного админа. Опускание iptables ситуацию не меняет. Параметры sysctl в /etc/ и /etc/net вроде бы совершенно безобидные (из коробки + log_martians). Забыл добавить: на машине почти текущий Сизиф, хотя видимо, не суть важно. Ещё странне то, что у соседа с виндой и аналогичным интерфейсом/роутингом всё работает. Я натолкнулся на фичу/настройку безопасности? Есть мысли? -- Терешков Евгений, ALT Linux Team.
В сообщении от Четверг 18 января 2007 21:59 Eugene Ostapets написал(a):
> Может стоит посмотреть на cyrus-imapd с его murder?
Или на dbmail+postgresql ?
--
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
ICQ: 271053845
XMPP: AlexShen@jabber.ru
Sergey пишет:
> Здравствуйте.
> Я стою перед выбором технологии создания почтового high-availability
> кластера. Возможно кто-то поделится опытом?
> Задача: кластеризовать и получить возможность распределения нагрузки на
> pop3/smtp сервер с авторизацией в ldap.
> Реплицировать Ldap собираюсь его штатными средствами.
> Переключаться и делить нагрузку планирую с помощью DNS(время жизни
> записи вытавить раным 0)
> Но вот как реплицировать сами почтовые ящики? Смотрел на DRBD, но она
> не поддерживает одновременной записи на master и на slave. Есть ещё
> файловые системы позволяющие подобное(OCFS2, GFS, OpenGFS, что-то ещё?), но что
> из них выбрать?
>
Как вариант DBMail + СУБД с кластеризацией (пока из поддерживаемых это
только MySQL, у PostgreSQL с кластеризацией значительно хуже)
Кстати, возможно, что производительности СУБД будет достаточно, чтобы
задуматься только о high availability (это можно реализовать и внешними
по отношению к СУБД средствами - heartbeat + drbd), а распределение
нагрузки организовать для pop3/smtp. В dbmail-users@ кто-то рассказывал
про свою конфигурацию с одним сервером MySQL в качестве хранилища и
десятком pop3/smtp, подключенным к нему - за подробностями поднимите
архивы ...
--
С уважением, Прокопьев Евгений
On 19.01.2007 09:19:16, Evgenii Terechkov wrote: > День добрый, уважаемые! > > Вот столкнулся с такой проблемой: в нашей локальной сети > анонсировали возможность доступа в личный кабинет пользователя из > локальной сети, без поднятия VPN-соединения. Хост с ЛК зовётся > ais.atllan.ru. Однако, к нему у меня нет доступа. Вот как это > выглядит: ... > DNS работает, хотя и отвечает лишь на 53/udp. Странно, хотя и > возможно. До роутера и VPN-сервера доступ есть. Сеть настроена по > всем рекомендациям местного админа. > > Опускание iptables ситуацию не меняет. Параметры sysctl в /etc/ и > /etc/net вроде бы совершенно безобидные (из коробки + log_martians). > Забыл добавить: на машине почти текущий Сизиф, хотя видимо, не суть > важно. > > Ещё странне то, что у соседа с виндой и аналогичным > интерфейсом/роутингом всё работает. Я натолкнулся на фичу/настройку > безопасности? Есть мысли? Вы ни разу не показали, что у Вас хоть что-нибудь работает (кроме - косвенно - того, что ДНС работает). Трасировка показывает, что либо у Вас всё наглухо закрыто (порты), либо не работает. Ильдар -- Ildar Mulyukov, free SW designer/programmer/packager ========================================= email: ildar@altlinux.ru Jabber: ildar@jabber.ru ICQ: 4334029 ALT Linux Sisyphus http://www.sisyphus.ru =========================================
Ildar Mulyukov пишет:
> Вы ни разу не показали, что у Вас хоть что-нибудь работает (кроме -
> косвенно - того, что ДНС работает). Трасировка показывает, что либо у
> Вас всё наглухо закрыто (порты), либо не работает.
В конце есть такое (есть связь с центральным роутером и VPN-сервером):
~$ ping -c2 10.0.0.1 0:13
PING 10.0.0.1 (10.0.0.1) 56(84) bytes of data.
64 bytes from 10.0.0.1: icmp_seq=1 ttl=255 time=0.707 ms
64 bytes from 10.0.0.1: icmp_seq=2 ttl=255 time=0.709 ms
--- 10.0.0.1 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1003ms
rtt min/avg/max/mdev = 0.707/0.708/0.709/0.001 ms
~$ ping -c2 192.168.0.1 0:14
PING 192.168.0.1 (192.168.0.1) 56(84) bytes of data.
64 bytes from 192.168.0.1: icmp_seq=1 ttl=254 time=1.42 ms
64 bytes from 192.168.0.1: icmp_seq=2 ttl=254 time=2.86 ms
--- 192.168.0.1 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1000ms
rtt min/avg/max/mdev = 1.426/2.146/2.867/0.721 ms
Как я написал, полное опускание iptables на ситуацию совершенно не влияет.
Та что не работает :-(
--
Терешков Евгений, ALT Linux Team.
Evgenii Terechkov wrote:
> Ildar Mulyukov пишет:
>
>
>> Вы ни разу не показали, что у Вас хоть что-нибудь работает (кроме -
>> косвенно - того, что ДНС работает). Трасировка показывает, что либо у
>> Вас всё наглухо закрыто (порты), либо не работает.
>>
>
> В конце есть такое (есть связь с центральным роутером и VPN-сервером):
>
> ~$ ping -c2 10.0.0.1 0:13
> PING 10.0.0.1 (10.0.0.1) 56(84) bytes of data.
> 64 bytes from 10.0.0.1: icmp_seq=1 ttl=255 time=0.707 ms
> 64 bytes from 10.0.0.1: icmp_seq=2 ttl=255 time=0.709 ms
>
> --- 10.0.0.1 ping statistics ---
> 2 packets transmitted, 2 received, 0% packet loss, time 1003ms
> rtt min/avg/max/mdev = 0.707/0.708/0.709/0.001 ms
> ~$ ping -c2 192.168.0.1 0:14
> PING 192.168.0.1 (192.168.0.1) 56(84) bytes of data.
> 64 bytes from 192.168.0.1: icmp_seq=1 ttl=254 time=1.42 ms
> 64 bytes from 192.168.0.1: icmp_seq=2 ttl=254 time=2.86 ms
>
> --- 192.168.0.1 ping statistics ---
> 2 packets transmitted, 2 received, 0% packet loss, time 1000ms
> rtt min/avg/max/mdev = 1.426/2.146/2.867/0.721 ms
>
> Как я написал, полное опускание iptables на ситуацию совершенно не влияет.
> Та что не работает :-(
>
>
Пинг по IP говорит только о том, что у Вас разрешено хождение icmp
пакетов и они ходят правильно. (Маршрутизация на сервере работает
правильно.) С открытостью /закрытостью портов это не связано. Лог,
например, netcat на требуемые порты дал бы больше информации. Или
выдержки из tcpdump по нужному сеансу.
--
Андрей
Andriy Dobrovolkii пишет: >>> Вы ни разу не показали, что у Вас хоть что-нибудь работает (кроме - >>> косвенно - того, что ДНС работает). Трасировка показывает, что либо у >>> Вас всё наглухо закрыто (порты), либо не работает. >> В конце есть такое (есть связь с центральным роутером и VPN-сервером): >> Как я написал, полное опускание iptables на ситуацию совершенно не влияет. ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ > Пинг по IP говорит только о том, что у Вас разрешено хождение icmp > пакетов и они ходят правильно. (Маршрутизация на сервере работает > правильно.) С открытостью /закрытостью портов это не связано. Лог, > например, netcat на требуемые порты дал бы больше информации. Или > выдержки из tcpdump по нужному сеансу. 1) Вышеотктвоченное. У меня всё открыто. На сервере нужное (icmp, 80/tcp) тоже открыто (это подтверждают соседние windows-клиенты). 2) Админ сервера утверждает, что пинг на сервере открыт для всех (опять же, windows-клиенты подтверждают). 3) tcpdump-сеанс могу воспроизвести по памяти: нет ответов никаких, кроме 53/udp (с DNS-сервера 80.253.235.3). Либо я вас совершенно неверно понимаю, либо вы меня. -- Терешков Евгений, ALT Linux Team.
[-- Attachment #1: Type: text/plain, Size: 2174 bytes --] Evgenii Terechkov пишет: > Andriy Dobrovolkii пишет: > >>>> Вы ни разу не показали, что у Вас хоть что-нибудь работает (кроме - >>>> косвенно - того, что ДНС работает). Трасировка показывает, что либо у >>>> Вас всё наглухо закрыто (порты), либо не работает. >>> В конце есть такое (есть связь с центральным роутером и VPN-сервером): >>> Как я написал, полное опускание iptables на ситуацию совершенно не влияет. > > ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ >> Пинг по IP говорит только о том, что у Вас разрешено хождение icmp >> пакетов и они ходят правильно. (Маршрутизация на сервере работает >> правильно.) С открытостью /закрытостью портов это не связано. Лог, >> например, netcat на требуемые порты дал бы больше информации. Или >> выдержки из tcpdump по нужному сеансу. > > 1) Вышеотктвоченное. У меня всё открыто. На сервере нужное (icmp, 80/tcp) > тоже открыто (это подтверждают соседние windows-клиенты). > Я не видел дампов сеансов с Вин-клиентами, потому пока о них забудем. ОК? То, что Ваш файрвол на ситуацию не влияет, я тоже понял. Но, надеюсь, на сервере тоже есть файрвол? > 2) Админ сервера утверждает, что пинг на сервере открыт для всех (опять же, > windows-клиенты подтверждают). Ваш лог это тоже подтверждает, при пинге по IP. Я так же вижу из первого письма, что пинг по имени не работает. Т.е. с DNS явная проблема. > > 3) tcpdump-сеанс могу воспроизвести по памяти: нет ответов никаких, кроме > 53/udp (с DNS-сервера 80.253.235.3). > Из написанного выше, это не удивительно. > Либо я вас совершенно неверно понимаю, либо вы меня. > Ничего, было бы желание договориться... ;) Если я понял правильно, у Вас на машине один сетевой интерфейс? А вот таблица маршрутизации весьма заковыристая... Зачем? -- Rgrds, Andriy ********************************************************************* email: dobr at iop dot kiev dot ua Kyiv, Ukraine Phone: (380-44) 525-7824 Department of Gas Electronics Fax: (380-44) 525-2329 Institute of Physics of NASU *********************dobrATjabber.iop.kiev.ua************************ [-- Attachment #2: OpenPGP digital signature --] [-- Type: application/pgp-signature, Size: 189 bytes --]
Andrii Dobrovol`s`kii пишет: > Я не видел дампов сеансов с Вин-клиентами, потому пока о них > забудем. ОК? То, что Ваш файрвол на ситуацию не влияет, я тоже > понял. Но, надеюсь, на сервере тоже есть файрвол? Есть, но: 1) у win-клиентов пинг работает. 2) админ утверждает, что пинг сервера оставлен. >> 2) Админ сервера утверждает, что пинг на сервере открыт для всех (опять же, >> windows-клиенты подтверждают). > Ваш лог это тоже подтверждает, при пинге по IP. Я так же вижу из > первого письма, что пинг по имени не работает. Т.е. с DNS явная > проблема. DNS как раз работает. Мой лог подтверждает, что пинг не работает у меня (вынося DNS за скобки, т.к. соответствие ais.atllan.ru<=>80.253.235.5 верно и резолвинг внешних хостов по resolve идёт, что и видно из лога). >> 3) tcpdump-сеанс могу воспроизвести по памяти: нет ответов никаких, кроме >> 53/udp (с DNS-сервера 80.253.235.3). > Из написанного выше, это не удивительно. Не понимаю либо я либо одно из двух... Скорее второе. >> Либо я вас совершенно неверно понимаю, либо вы меня. > Ничего, было бы желание договориться... ;) Попытаемся... > Если я понял правильно, у Вас на машине один сетевой интерфейс? А > вот таблица маршрутизации весьма заковыристая... Зачем? Один. atl зовётся. ~$ ip route show 0:09 80.253.235.3 via 10.0.0.1 dev atl 192.168.0.0/24 via 10.0.0.1 dev atl 10.0.0.0/8 dev atl proto kernel scope link src 10.253.235.197 default via 10.0.0.1 dev atl Первый роут действительно лишний. Второй нужен для pptp-соединения. Последний для всего остального. Разве ж это заковыристая? Вы таки будете смеяться - прочитал на локальном форуме пост от человека, у которого тоже нет пинга до ais.atllan.ru, но он открывается. Попробовал - тоже открылось. Вроде ничего не делал для этого. Так что "проблема" вроде отпала сама собой. Хотя с пингом непонятно. Совсем. -- Терешков Евгений, ALT Linux Team.
[-- Attachment #1: Type: text/plain, Size: 3305 bytes --] Evgenii Terechkov пишет: > Andrii Dobrovol`s`kii пишет: > >> Я не видел дампов сеансов с Вин-клиентами, потому пока о них >> забудем. ОК? То, что Ваш файрвол на ситуацию не влияет, я тоже >> понял. Но, надеюсь, на сервере тоже есть файрвол? > > Есть, но: 1) у win-клиентов пинг работает. 2) админ утверждает, что пинг > сервера оставлен. > Есть ещё один вариант. Разные умолчания. Попробуйте поиграть с параметрами пинга. И пинг какого сервера оставлен? Из внимательного рассмотрения первых писем, вижу, что пинг у Вас работает только для локалки. А вот ДНС -- глобально. >>> 2) Админ сервера утверждает, что пинг на сервере открыт для всех (опять же, >>> windows-клиенты подтверждают). >> Ваш лог это тоже подтверждает, при пинге по IP. Я так же вижу из >> первого письма, что пинг по имени не работает. Т.е. с DNS явная >> проблема. > > DNS как раз работает. Мой лог подтверждает, что пинг не работает у меня > (вынося DNS за скобки, т.к. соответствие ais.atllan.ru<=>80.253.235.5 > верно и резолвинг внешних хостов по resolve идёт, что и видно из лога). > Да. Тут был не внимателен. >>> 3) tcpdump-сеанс могу воспроизвести по памяти: нет ответов никаких, кроме >>> 53/udp (с DNS-сервера 80.253.235.3). >> Из написанного выше, это не удивительно. > > Не понимаю либо я либо одно из двух... Скорее второе. > Проблемы таки именно с пингом. >>> Либо я вас совершенно неверно понимаю, либо вы меня. >> Ничего, было бы желание договориться... ;) > > Попытаемся... > >> Если я понял правильно, у Вас на машине один сетевой интерфейс? А >> вот таблица маршрутизации весьма заковыристая... Зачем? > > Один. atl зовётся. > > ~$ ip route show 0:09 > 80.253.235.3 via 10.0.0.1 dev atl > 192.168.0.0/24 via 10.0.0.1 dev atl > 10.0.0.0/8 dev atl proto kernel scope link src 10.253.235.197 > default via 10.0.0.1 dev atl > > Первый роут действительно лишний. Второй нужен для pptp-соединения. > Последний для всего остального. Разве ж это заковыристая? > Заковыристая. Лишние маршруты редко дают положительный результат. Предлагаю Вам убрать первые два маршрута ввиду их бесполезности и посмотреть, что будет. > Вы таки будете смеяться - прочитал на локальном форуме пост от человека, у > которого тоже нет пинга до ais.atllan.ru, но он открывается. Попробовал - > тоже открылось. Вроде ничего не делал для этого. Так что "проблема" вроде > отпала сама собой. Хотя с пингом непонятно. Совсем. > А чего тут смеяться? У меня в сети пинг жестоко порезан. Много умников сканирующих сеть просто чтоб посмотреть сколько машин активны. Но, работе сети это не мешает... ;) 100% потеря пакетов говорит о том, что либо Вам не отвечают, либо ответы теряются по дороге. Я не знаю структуру Вашей сети и конкретней сказать ничего не могу. -- Rgrds, Andriy ********************************************************************* email: dobr at iop dot kiev dot ua Kyiv, Ukraine Phone: (380-44) 525-7824 Department of Gas Electronics Fax: (380-44) 525-2329 Institute of Physics of NASU *********************dobrATjabber.iop.kiev.ua************************ [-- Attachment #2: OpenPGP digital signature --] [-- Type: application/pgp-signature, Size: 189 bytes --]
Andrii Dobrovol`s`kii пишет: >> Есть, но: 1) у win-клиентов пинг работает. 2) админ утверждает, что пинг >> сервера оставлен. > Есть ещё один вариант. Разные умолчания. Попробуйте поиграть с > параметрами пинга. И пинг какого сервера оставлен? Из внимательного > рассмотрения первых писем, вижу, что пинг у Вас работает только для > локалки. А вот ДНС -- глобально. Параметрами пинга действительно не догадался пойграть, попробую, спасибо. Оставлены пинги до всех серверов. Пинга до ДНС-сервера нет только у меня и ещё одного человека (может уже есть, я о нём писал). Значит нужно у себя крутить. >> ~$ ip route show 0:09 >> 80.253.235.3 via 10.0.0.1 dev atl >> 192.168.0.0/24 via 10.0.0.1 dev atl >> 10.0.0.0/8 dev atl proto kernel scope link src 10.253.235.197 >> default via 10.0.0.1 dev atl >> Первый роут действительно лишний. Второй нужен для pptp-соединения. >> Последний для всего остального. Разве ж это заковыристая? > Заковыристая. Лишние маршруты редко дают положительный результат. > Предлагаю Вам убрать первые два маршрута ввиду их бесполезности и > посмотреть, что будет. Первый уже убрал, это да. Второй убирать не нужно. Я упоминал, что в этой сети находится наш VPN-сервер. Доки по pptp-client я читал, и знаю, зачем это. Тем более, что этот маршрут совершенно не влияет на другие адреса. > А чего тут смеяться? У меня в сети пинг жестоко порезан. Много > умников сканирующих сеть просто чтоб посмотреть сколько машин > активны. Но, работе сети это не мешает... ;) > 100% потеря пакетов говорит о том, что либо Вам не отвечают, либо > ответы теряются по дороге. Я не знаю структуру Вашей сети и > конкретней сказать ничего не могу. Повторю ещё раз (только без обид): админ этого сервера утверждает, что пинг оставлен и у соседей пинг работает. У меня нет оснований подозревать, что я какой-то избранный :-) -- Терешков Евгений, ALT Linux Team.
[-- Attachment #1: Type: text/plain, Size: 2133 bytes --] Evgenii Terechkov пишет: > Andrii Dobrovol`s`kii пишет: > Параметрами пинга действительно не догадался пойграть, попробую, спасибо. > Оставлены пинги до всех серверов. Пинга до ДНС-сервера нет только у меня и > ещё одного человека (может уже есть, я о нём писал). Значит нужно у себя > крутить. > Попробуйте. И посмотрите паралельно на вывод tcpdump. >>> ~$ ip route show 0:09 >>> 80.253.235.3 via 10.0.0.1 dev atl >>> 192.168.0.0/24 via 10.0.0.1 dev atl >>> 10.0.0.0/8 dev atl proto kernel scope link src 10.253.235.197 >>> default via 10.0.0.1 dev atl > > Первый уже убрал, это да. Второй убирать не нужно. Я упоминал, что в этой > сети находится наш VPN-сервер. Доки по pptp-client я читал, и знаю, зачем > это. Тем более, что этот маршрут совершенно не влияет на другие адреса. > Да первый тоже влиять не должен... Я с pptp-client не работал, но не очень понимаю зачем ядру лишний раз напоминать, что всё, что не в 10.0.0.0/8 нужно отослать на стандартный гейт. Но, раз нужно, пусть живет. :) >> А чего тут смеяться? У меня в сети пинг жестоко порезан. Много >> умников сканирующих сеть просто чтоб посмотреть сколько машин >> активны. Но, работе сети это не мешает... ;) >> 100% потеря пакетов говорит о том, что либо Вам не отвечают, либо >> ответы теряются по дороге. Я не знаю структуру Вашей сети и >> конкретней сказать ничего не могу. > > Повторю ещё раз (только без обид): админ этого сервера утверждает, что пинг > оставлен и у соседей пинг работает. У меня нет оснований подозревать, что я > какой-то избранный :-) > Это всё понятно. Я это к тому, что неработа пинга мало на что влияет. :) -- Rgrds, Andriy ********************************************************************* email: dobr at iop dot kiev dot ua Kyiv, Ukraine Phone: (380-44) 525-7824 Department of Gas Electronics Fax: (380-44) 525-2329 Institute of Physics of NASU *********************dobrATjabber.iop.kiev.ua************************ [-- Attachment #2: OpenPGP digital signature --] [-- Type: application/pgp-signature, Size: 189 bytes --]
Andrii Dobrovol`s`kii пишет: >> Параметрами пинга действительно не догадался пойграть, попробую, спасибо. >> Оставлены пинги до всех серверов. Пинга до ДНС-сервера нет только у меня и >> ещё одного человека (может уже есть, я о нём писал). Значит нужно у себя >> крутить. > Попробуйте. И посмотрите паралельно на вывод tcpdump. Попробовал. Ничего нового. Просто не видно никаких ответов от серверов. >>>> ~$ ip route show 0:09 >>>> 80.253.235.3 via 10.0.0.1 dev atl >>>> 192.168.0.0/24 via 10.0.0.1 dev atl >>>> 10.0.0.0/8 dev atl proto kernel scope link src 10.253.235.197 >>>> default via 10.0.0.1 dev atl > Да первый тоже влиять не должен... Я с pptp-client не работал, но не > очень понимаю зачем ядру лишний раз напоминать, что всё, что не в > 10.0.0.0/8 нужно отослать на стандартный гейт. Но, раз нужно, пусть > живет. :) Если б работали с pptp-client, знали бы, что нужно прописывать отдельный роутинг (правда, лишь собственно до VPN-сервера, а маршрут до сети у меня с тех времён, когда ещё маршрута по умолчанию в сети не было). Но не суть. >> Повторю ещё раз (только без обид): админ этого сервера утверждает, что пинг >> оставлен и у соседей пинг работает. У меня нет оснований подозревать, что я >> какой-то избранный :-) > Это всё понятно. Я это к тому, что неработа пинга мало на что влияет. :) Не, ну мне уже просто интересно, чего это он у меня не работает. :-) -- Терешков Евгений, ALT Linux Team.
Доброго времени суток. Сервер с весьма свежим Сизифом ... Странное поведение наблюдаю ... Есть два внешних канала eth1 с белым адресом и eth2 с серым ... eth1 подключен в Инет через бридж eth2 через роутер с NAT ... Default настроен через eth1 В iptables разрешено рабочей станции из локалки ходить в Инет через мой NAT ... Для нее сделана таблица с разворотом через eth2. Рабочая станция через сервер-NAT-eth2-роутер_с_NAT нормально выходит в Инет, красиво показывает mtr. А вот сам сервер чудит ... ping -i "Белый адрес" выводит одну строку и замирает... ping -i "Серый адрес" выводит одну строку и замирает... Просто ping работает нормально ... mtr - Работает нормально mtr -a "Белый адрес" - Работает нормально mtr -a "Серый адрес" - молчит ... Такое впечатление, что сервер не хочет выпускать свои пакеты через eth2 ... Но при этом, он нормально выпускает пакеты, которые прошли через SNAT от рабочей станции ... И где сидит барабашка ? -- Best regards, Dmitriy L. Kruglikov .--. Dmitriy.Kruglikov_at_gmail_dot_com |@_@ | DKR6-RIPE |!_/ | XMPP:dkr6@jabber.ru // \ \ (| | ) /'\_ _/`\ Powered by Linux \___)=(___/ -- Мысль -- Берегите природу нашу - мать вашу
[-- Attachment #1: Type: text/plain, Size: 1635 bytes --] Dmitriy L. Kruglikov пишет: > Доброго времени суток. > > Сервер с весьма свежим Сизифом ... > > Странное поведение наблюдаю ... > Есть два внешних канала > eth1 с белым адресом и > eth2 с серым ... > eth1 подключен в Инет через бридж > eth2 через роутер с NAT ... > Default настроен через eth1 > Это про что? Про сервер? А что про раб. станцию? Она то как подоткнута? > В iptables разрешено рабочей станции из локалки ходить в Инет через мой NAT ... > Для нее сделана таблица с разворотом через eth2. > > Рабочая станция через сервер-NAT-eth2-роутер_с_NAT нормально выходит в Инет, > красиво показывает mtr. > > А вот сам сервер чудит ... > ping -i "Белый адрес" выводит одну строку и замирает... > ping -i "Серый адрес" выводит одну строку и замирает... > Просто ping работает нормально ... > Так кто кого пингует? -i <сколько?> > mtr - Работает нормально > mtr -a "Белый адрес" - Работает нормально > mtr -a "Серый адрес" - молчит ... > > Такое впечатление, что сервер не хочет выпускать > свои пакеты через eth2 ... > Но при этом, он нормально выпускает пакеты, которые прошли через > SNAT от рабочей станции ... > > И где сидит барабашка ? > Как-то маловато информации... Может экран, может ДНС, может ещё где... -- Rgrds, Andriy ********************************************************************* email: dobr at iop dot kiev dot ua Kyiv, Ukraine Phone: (380-44) 525-7824 Department of Gas Electronics Fax: (380-44) 525-2329 Institute of Physics of NASU *********************dobrATjabber.iop.kiev.ua************************ [-- Attachment #2: OpenPGP digital signature --] [-- Type: application/pgp-signature, Size: 189 bytes --]
На календаре было: Вторник, 30 Январь 2007 года, Andrii Dobrovol`s`kii писал(а) в сообщении: AD == Andrii Dobrovol`s`kii AD> > AD> Это про что? AD> Про сервер? А что про раб. станцию? Она то как подоткнута? Рабочка, как и вся локалка, на eth0 ... AD> AD> Так кто кого пингует? -i <сколько?> Пингует сервер .... Соответственно, с разных (своих же) внешних адресов AD> > AD> Как-то маловато информации... Может экран, может ДНС, может ещё где... DNS работает ... Экран открыт для OUTPUT ... Пакеты, которые от моей рабочки проходят через экран и маскируются адресом eth2 (серым), нормально выходят в Инет ... А вот сам сервер со своего eth2 ничего выпускать не хочет ... Или не может ... -- Best regards, Dmitriy L. Kruglikov .--. Dmitriy.Kruglikov_at_gmail_dot_com |@_@ | DKR6-RIPE |!_/ | XMPP:dkr6@jabber.ru // \ \ (| | ) /'\_ _/`\ Powered by Linux \___)=(___/ -- Мысль -- Не бойся ошибок! Может быть, одна из них приведет тебя, как Колумба, к открытию Америки. -- Михаил Генин
[-- Attachment #1: Type: text/plain, Size: 1391 bytes --] Dmitriy L. Kruglikov пишет: > На календаре было: Вторник, 30 Январь 2007 года, > Andrii Dobrovol`s`kii писал(а) в сообщении: > > AD == Andrii Dobrovol`s`kii > > AD> > > AD> Это про что? > AD> Про сервер? А что про раб. станцию? Она то как подоткнута? > Рабочка, как и вся локалка, на eth0 ... > ОК. > AD> > AD> Так кто кого пингует? -i <сколько?> > Пингует сервер .... Соответственно, с разных (своих же) внешних адресов > Пинг самого себя? А при опущеном экране? > AD> > > AD> Как-то маловато информации... Может экран, может ДНС, может ещё где... > DNS работает ... Это хорошо. :) > Экран открыт для OUTPUT ... Это тоже хорошо... Но, чтоб пинговать самого себя нужно отправить и принять... С этим как? Что шепчет tcpdump или его братья? > Пакеты, которые от моей рабочки проходят через экран и маскируются адресом > eth2 (серым), нормально выходят в Инет ... > А вот сам сервер со своего eth2 ничего выпускать не хочет ... > Или не может ... > Сервер железный... Он ничего не хочет. :) -- Rgrds, Andriy ********************************************************************* email: dobr at iop dot kiev dot ua Kyiv, Ukraine Phone: (380-44) 525-7824 Department of Gas Electronics Fax: (380-44) 525-2329 Institute of Physics of NASU *********************dobrATjabber.iop.kiev.ua************************ [-- Attachment #2: OpenPGP digital signature --] [-- Type: application/pgp-signature, Size: 189 bytes --]
На календаре было: Вторник, 30 Январь 2007 года, Andrii Dobrovol`s`kii писал(а) в сообщении: AD == Andrii Dobrovol`s`kii AD> > AD> Так кто кого пингует? -i <сколько?> AD> > Пингует сервер .... Соответственно, с разных (своих же) внешних адресов AD> > AD> Пинг самого себя? А при опущеном экране? Нет, конечно :) Пингует он кого угодно .... Точнее, пытается .... :( В tcpdump тишина... Пакеты, вроде как и не пытаются выходить никуда ... -- Best regards, Dmitriy L. Kruglikov .--. Dmitriy.Kruglikov_at_gmail_dot_com |@_@ | DKR6-RIPE |!_/ | XMPP:dkr6@jabber.ru // \ \ (| | ) /'\_ _/`\ Powered by Linux \___)=(___/ -- Мысль -- И лягушка говорила бы, если бы в рот вода не попадала. -- Лезгинская пословица
А юзал ли кто-нибудь net.ipv4.tcp_tw_recycle=1 net.ipv4.tcp_tw_reuse=1 ? Есть противопоказания? А то уже вроде всё остальное выкрутил на максимум в sysctl, а всё равно в логах успешно проскакивает Feb 5 21:46:27 multimedia kernel: Out of socket memory Feb 5 21:46:27 multimedia kernel: TCP: too many of orphaned sockets При этом netstat -nap | grep "TIME_WAIT" пока ниразу не ловил более 16-20 (раз в 10 минут пускаю скриптик) и соотвествено положение ручек: cat /etc/sysctl.conf #net.ipv4.conf.all.rp_filter=1 #net.ipv4.conf.all.send_redirects=0 net.ipv4.conf.default.rp_filter=1 net.ipv4.conf.default.forwarding=1 net.ipv4.conf.default.proxy_arp=0 #net.ipv4.conf.default.send_redirects=1 #net.ipv4.ip_forward=1 #kernel.sysrq=1 #added by stalker # Increase number of incoming connections backlog #def 1000 net.core.netdev_max_backlog=2048 # def net.core.dev_weight=64 #def 4096 87380 174760 net.ipv4.tcp_rmem=4096 87380 16777216 #def 4096 16384 131072 net.ipv4.tcp_wmem = 4096 65536 16777216 #def 0 net.ipv4.tcp_rfc1337=1 # Turn off sack net.ipv4.tcp_sack=0 #def 60 net.ipv4.tcp_fin_timeout=20 #def 9 net.ipv4.tcp_keepalive_probes=5 #def 32768 net.ipv4.tcp_max_orphans=32768 #def 10240 net.core.optmem_max=20480 #def 110592 net.core.rmem_default=16777216 #def 131071 net.core.rmem_max=16777216 #def 110592 net.core.wmem_default=16777216 #def 131071 net.core.wmem_max=16777216 #def 128 net.core.somaxconn=500 #def 0 net.ipv4.tcp_orphan_retries = 1 #def 180000 net.ipv4.tcp_max_tw_buckets=540000 #def 1024 #net.ipv4.tcp_max_tw_buckets_ub=540000 #-- OpenVZ begin --# # On Hardware Node we generally need # packet forwarding enabled and proxy arp disabled net.ipv4.ip_forward = 1 net.ipv4.conf.default.proxy_arp = 0 # Enables source route verification net.ipv4.conf.all.rp_filter = 1 # Enables the magic-sysrq key kernel.sysrq = 1 # TCP Explict Congestion Notification #net.ipv4.tcp_ecn = 0 # we do not want all our interfaces to send redirects net.ipv4.conf.default.send_redirects = 1 net.ipv4.conf.all.send_redirects = 0 #-- OpenVZ end --# -- np: silence
On Mon, Feb 05, 2007 at 10:21:12PM +0300, Anton Gorlov wrote: > А юзал ли кто-нибудь Не-а. Но сабж великолепен ;) > net.ipv4.tcp_tw_recycle=1 > net.ipv4.tcp_tw_reuse=1 ? > Есть противопоказания? А то уже вроде всё остальное выкрутил на > максимум в sysctl, а всё равно в логах успешно проскакивает > Feb 5 21:46:27 multimedia kernel: Out of socket memory > Feb 5 21:46:27 multimedia kernel: TCP: too many of orphaned sockets В гугле не проскакивает? > #-- OpenVZ begin --# > # On Hardware Node we generally need Ты бы лучше grep tcp.*buf /proc/user_beancounters из этого VE показал. -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/
Michael Shigorin пишет: > Не-а. Но сабж великолепен ;) У меня мысли вчера кончились... Вообще. >> net.ipv4.tcp_tw_recycle=1 >> net.ipv4.tcp_tw_reuse=1 ? >> Есть противопоказания? А то уже вроде всё остальное выкрутил на >> максимум в sysctl, а всё равно в логах успешно проскакивает >> Feb 5 21:46:27 multimedia kernel: Out of socket memory >> Feb 5 21:46:27 multimedia kernel: TCP: too many of orphaned sockets > В гугле не проскакивает? То что прсокакивало - ручки уже вывернуты >> #-- OpenVZ begin --# >> # On Hardware Node we generally need > Ты бы лучше grep tcp.*buf /proc/user_beancounters из этого VE > показал. :~# grep tcp.*buf /proc/user_beancounters tcpsndbuf 7008 75344 2147483647 2147483647 0 tcprcvbuf 0 213600 2147483647 2147483647 0 tcpsndbuf 0 573792 10485760 11796480 0 tcprcvbuf 0 249888 8000000 9310720 0 tcpsndbuf 0 759936 10485760 10690560 0 tcprcvbuf 0 61392 1200000 1700000 0 tcpsndbuf 0 166800 319488 524288 0 tcprcvbuf 0 76896 1319488 1524288 0 tcpsndbuf 0 767280 1000000 1204800 0 tcprcvbuf 0 216800 1319488 1524288 0 tcpsndbuf 0 31136 319488 524288 0 tcprcvbuf 0 162336 1319488 1524288 0 -- np: silence
привет всем ALT2.4 Работал нормально, но как-то его выключили, из 220 вынули. Теперь после загрузки половина сервисов не запущены. В логах не видно что бы они даже пытались запуститься. Руками запускаются замечательно. Куда копать? В initab id:3:initdefault: у меня например грузиться clamd а не грузится clamsmtpd squid postfix [root@sad etc]# chkconfig --list consolesaver 0:off 1:off 2:off 3:off 4:off 5:off 6:off fbsetfont 0:off 1:off 2:off 3:off 4:off 5:off 6:off random 0:off 1:off 2:on 3:on 4:on 5:on 6:off rawdevices 0:off 1:off 2:off 3:on 4:on 5:on 6:off kdcrotate 0:off 1:off 2:off 3:off 4:off 5:off 6:off crond 0:off 1:off 2:on 3:on 4:on 5:on 6:off netfs 0:off 1:off 2:off 3:on 4:on 5:on 6:off network 0:off 1:off 2:on 3:on 4:on 5:on 6:off cyrus-imapd 0:off 1:off 2:off 3:off 4:off 5:off 6:off postfix 0:off 1:off 2:on 3:on 4:on 5:on 6:off httpd 0:off 1:off 2:off 3:on 4:off 5:off 6:off syslogd 0:off 1:off 2:on 3:on 4:on 5:on 6:off winbind 0:off 1:off 2:off 3:off 4:off 5:off 6:off slmodemd 0:off 1:off 2:off 3:on 4:on 5:on 6:off apmd 0:off 1:off 2:off 3:off 4:off 5:off 6:off keytable 0:off 1:off 2:on 3:on 4:on 5:on 6:off iptables 0:off 1:off 2:off 3:on 4:off 5:off 6:off acpid 0:off 1:off 2:off 3:off 4:off 5:off 6:off bind 0:off 1:off 2:off 3:on 4:off 5:off 6:off klogd 0:off 1:off 2:on 3:on 4:on 5:on 6:off portmap 0:off 1:off 2:off 3:on 4:on 5:on 6:off nfslock 0:off 1:off 2:off 3:off 4:off 5:off 6:off ntpd 0:off 1:off 2:off 3:off 4:off 5:off 6:off power 0:off 1:off 2:off 3:on 4:on 5:on 6:off smb 0:off 1:off 2:on 3:on 4:on 5:on 6:off sound 0:off 1:off 2:on 3:off 4:on 5:on 6:off squid 0:off 1:off 2:off 3:on 4:off 5:off 6:off anacron 0:off 1:off 2:on 3:on 4:on 5:on 6:off gpm 0:off 1:off 2:on 3:on 4:on 5:on 6:off hotplug 0:off 1:off 2:on 3:off 4:on 5:on 6:off htb 0:off 1:off 2:off 3:on 4:off 5:off 6:off kudzu 0:off 1:off 2:off 3:off 4:on 5:on 6:off sshd 0:off 1:off 2:on 3:on 4:on 5:on 6:off splash 0:off 1:off 2:on 3:off 4:on 5:on 6:off ethtool 0:off 1:off 2:off 3:off 4:off 5:off 6:off kheaders 0:off 1:off 2:on 3:on 4:on 5:on 6:off clamd 0:off 1:off 2:on 3:on 4:on 5:on 6:off clamsmtpd 0:off 1:off 2:on 3:on 4:on 5:on 6:off ulog-acctd 0:off 1:off 2:off 3:on 4:on 5:on 6:off openvpn 0:off 1:off 2:off 3:on 4:on 5:on 6:off root@sad etc]# ls -l /etc/rc.d/rc3.d/ total 0 lrwxrwxrwx 1 root root 19 Feb 8 04:09 K01kdcrotate -> ../init.d/kdcrotate lrwxrwxrwx 1 root root 16 Feb 8 04:09 K02splash -> ../init.d/splash lrwxrwxrwx 1 root root 15 Feb 8 04:09 K10acpid -> ../init.d/acpid lrwxrwxrwx 1 root root 14 Feb 8 04:09 K10ntpd -> ../init.d/ntpd lrwxrwxrwx 1 root root 17 Feb 8 04:09 K34winbind -> ../init.d/winbind lrwxrwxrwx 1 root root 21 Feb 8 04:09 K35cyrus-imapd -> ../init.d/cyrus-imapd lrwxrwxrwx 1 root root 14 Feb 8 04:09 K65apmd -> ../init.d/apmd lrwxrwxrwx 1 root root 22 Feb 8 04:09 K65consolesaver -> ../init.d/consolesaver lrwxrwxrwx 1 root root 19 Feb 8 04:09 K67fbsetfont -> ../init.d/fbsetfont lrwxrwxrwx 1 root root 17 Feb 8 04:09 K69hotplug -> ../init.d/hotplug lrwxrwxrwx 1 root root 15 Feb 8 04:09 K70sound -> ../init.d/sound lrwxrwxrwx 1 root root 17 Feb 8 04:09 K86nfslock -> ../init.d/nfslock lrwxrwxrwx 1 root root 17 Feb 8 04:09 K89ethtool -> ../init.d/ethtool lrwxrwxrwx 1 root root 15 Feb 8 04:09 K95kudzu -> ../init.d/kudzu lrwxrwxrwx 1 root root 20 Feb 8 04:09 S07ulog-acctd -> ../init.d/ulog-acctd lrwxrwxrwx 1 root root 18 Feb 8 04:09 S08iptables -> ../init.d/iptables lrwxrwxrwx 1 root root 17 Feb 8 04:09 S10network -> ../init.d/network lrwxrwxrwx 1 root root 13 Feb 8 04:09 S11htb -> ../init.d/htb lrwxrwxrwx 1 root root 17 Feb 8 04:09 S13portmap -> ../init.d/portmap lrwxrwxrwx 1 root root 16 Feb 8 04:09 S15random -> ../init.d/random lrwxrwxrwx 1 root root 14 Feb 8 04:09 S20bind -> ../init.d/bind lrwxrwxrwx 1 root root 15 Feb 8 04:09 S25netfs -> ../init.d/netfs lrwxrwxrwx 1 root root 17 Feb 8 04:09 S30syslogd -> ../init.d/syslogd lrwxrwxrwx 1 root root 15 Feb 8 04:09 S31klogd -> ../init.d/klogd lrwxrwxrwx 1 root root 18 Feb 8 04:09 S35keytable -> ../init.d/keytable lrwxrwxrwx 1 root root 13 Feb 8 04:09 S37gpm -> ../init.d/gpm lrwxrwxrwx 1 root root 15 Feb 8 04:09 S40crond -> ../init.d/crond lrwxrwxrwx 1 root root 17 Feb 8 04:09 S41anacron -> ../init.d/anacron lrwxrwxrwx 1 root root 17 Feb 8 04:09 S47openvpn -> ../init.d/openvpn lrwxrwxrwx 1 root root 14 Feb 8 04:09 S54sshd -> ../init.d/sshd lrwxrwxrwx 1 root root 20 Feb 8 04:09 S56rawdevices -> ../init.d/rawdevices lrwxrwxrwx 1 root root 15 Feb 8 04:09 S64power -> ../init.d/power lrwxrwxrwx 1 root root 15 Feb 8 04:09 S75clamd -> ../init.d/clamd lrwxrwxrwx 1 root root 19 Feb 8 04:09 S76clamsmtpd -> ../init.d/clamsmtpd lrwxrwxrwx 1 root root 15 Feb 8 04:09 S80httpd -> ../init.d/httpd lrwxrwxrwx 1 root root 17 Feb 8 04:09 S80postfix -> ../init.d/postfix lrwxrwxrwx 1 root root 18 Feb 8 04:09 S90kheaders -> ../init.d/kheaders lrwxrwxrwx 1 root root 18 Feb 8 04:09 S90slmodemd -> ../init.d/slmodemd lrwxrwxrwx 1 root root 15 Feb 8 04:09 S90squid -> ../init.d/squid lrwxrwxrwx 1 root root 13 Feb 8 04:09 S91smb -> ../init.d/smb lrwxrwxrwx 1 root root 15 May 21 2006 S99local -> ../init.d/local
В сообщении от 9 февраля 2007 13:37 Igo написал(a):
> привет всем
> ALT2.4
> Работал нормально, но как-то его выключили, из 220 вынули.
> Теперь после загрузки половина сервисов не запущены. В логах не видно что
> бы они даже пытались запуститься. Руками запускаются замечательно.
> Куда копать?
после команды reboot - тоже самое?
ДА
> В сообщении от 9 февраля 2007 13:37 Igo написал(a):
>
>> привет всем
>> ALT2.4
>> Работал нормально, но как-то его выключили, из 220 вынули.
>> Теперь после загрузки половина сервисов не запущены. В логах не видно что
>> бы они даже пытались запуститься. Руками запускаются замечательно.
>> Куда копать?
>>
> после команды reboot - тоже самое?
>
День добрый. Есть такой вопрос. В папке периодически пропадают файлики, к папке имеется доступ по ftp и smb. На sambe также настроен аудит. В общем в логах ftp и samba - ничего не найдено. Есть подозрение на какой-нибудь локальный скрипт(не крон - проверил), который чистит папку или действия пользователей - сервер многопользовательский . Есть ли какие нибудь средства аудита файловой системы, что бы узнать какой процесс/пользователь удаляет файл? (типа аналога аудита в офтопике NTFS, или аудита в самбе) -- Alexey Shabalin
13.02.07, Alexey Shabalin<a.shabalin.gmail.com> написал(а):
> День добрый.
> Есть такой вопрос.
> В папке периодически пропадают файлики, к папке имеется доступ по ftp и smb.
> На sambe также настроен аудит. В общем в логах ftp и samba - ничего не
> найдено. Есть подозрение на какой-нибудь локальный скрипт(не крон -
> проверил), который чистит папку или действия пользователей - сервер
> многопользовательский . Есть ли какие нибудь средства аудита файловой
> системы, что бы узнать какой процесс/пользователь удаляет файл?
> (типа аналога аудита в офтопике NTFS, или аудита в самбе)
inotify ?
Alexey Shabalin пишет: > День добрый. > Есть такой вопрос. > В папке периодически пропадают файлики, к папке имеется доступ по ftp и smb. > На sambe также настроен аудит. В общем в логах ftp и samba - ничего не > найдено. Есть подозрение на какой-нибудь локальный скрипт(не крон - > проверил), который чистит папку или действия пользователей - сервер > многопользовательский . Есть ли какие нибудь средства аудита файловой > системы, что бы узнать какой процесс/пользователь удаляет файл? > (типа аналога аудита в офтопике NTFS, или аудита в самбе) У нас в Red Hat есть демон audit. Он системные вызовы умеет перехватывать. Может быть это то, что Вы ищете? Но тут ядро должно быть патченное. [root@localhost audit]# rpm -qi audit Name : audit Relocations: (not relocatable) Version : 1.2.9 Vendor: Red Hat, Inc. Release : 1.el5 Build Date: Втр 24 Окт 2006 21:24:37 Install Date: Пнд 08 Янв 2007 13:22:28 Build Host: hs20-bc1-6.build.redhat.com Group : System Environment/Daemons Source RPM: audit-1.2.9-1.el5.src.rpm Size : 515047 License: GPL Signature : DSA/SHA1, Чтв 26 Окт 2006 01:38:40, Key ID fd372689897da07a Packager : Red Hat, Inc. <http://bugzilla.redhat.com/bugzilla> URL : http://people.redhat.com/sgrubb/audit/ Summary : User space tools for 2.6 kernel auditing Description : The audit package contains the user space utilities for storing and searching the audit records generate by the audit subsystem in the Linux 2.6 kernel.
Alexey Shabalin wrote: > День добрый. > Есть такой вопрос. > В папке периодически пропадают файлики... - сервер > многопользовательский . Есть ли какие нибудь средства аудита файловой > системы, что бы узнать какой процесс/пользователь удаляет файл? > (типа аналога аудита в офтопике NTFS, или аудита в самбе) psacct Example here: http://www.cyberciti.biz/tips/howto-log-user-activity-using-process-accounting.html -- Anton Kvashin
[-- Attachment #1: Type: text/plain, Size: 526 bytes --] On Tue, Feb 13, 2007 at 02:39:48PM +0300, Avramenko Andrew wrote: > перехватывать. Может быть это то, что Вы ищете? Но тут ядро должно быть > патченное. Патченое ли? > the audit subsystem in the Linux 2.6 kernel. Она ж там по дефолту. -- WBR, wRAR (ALT Linux Team) Powered by the ALT Linux fortune(8): > я слышал от тех же дебианщиков, что альт - это урезанный debian. типа > всё испортили, даже dpkg убрали :)) Как это убрали? apt-cache show dpkg показывает что на месте. ;-) -- icesik in smoke-room@ [-- Attachment #2: Digital signature --] [-- Type: application/pgp-signature, Size: 189 bytes --]
Доброго всем утра. Имеется в сети машинка с АЛМ24, смотрящая в инет. Сквид стоит и какие-то настройки имеет. В Большую Сеть из локалки выйти могу. Хотелось бы еще и почту проверять/отправлять (у меня ТВ) и симу использовать.. Вопрос --- как. Понимаю, данных маловато. Подскажите, что надо еще сообщить --- сообщу. --- С уважением, Константин Былым
Andrey Rahmatullin пишет:
> On Tue, Feb 13, 2007 at 02:39:48PM +0300, Avramenko Andrew wrote:
>> перехватывать. Может быть это то, что Вы ищете? Но тут ядро должно быть
>> патченное.
> Патченое ли?
>
>> the audit subsystem in the Linux 2.6 kernel.
> Она ж там по дефолту.
А.. Ну это смотря как собрать. Совсем не знаком как в АЛЬТе собирают
ядро. Ну значит даже патчить ничего не надо - еще лучше. Если пакетик
нужен, могу дать ссылку.
Кстати, если у нас нету аналога в сизифе, может собрать?
Avramenko Andrew пишет:
>>> перехватывать. Может быть это то, что Вы ищете? Но тут ядро должно быть
>>> патченное.
>> Патченое ли?
>>
>>> the audit subsystem in the Linux 2.6 kernel.
>> Она ж там по дефолту.
>
> А.. Ну это смотря как собрать. Совсем не знаком как в АЛЬТе собирают
> ядро. Ну значит даже патчить ничего не надо - еще лучше. Если пакетик
> нужен, могу дать ссылку.
>
> Кстати, если у нас нету аналога в сизифе, может собрать?
А пакет acct разве не оно?
--
Терешков Евгений, ALT Linux Team.
Evgenii Terechkov пишет:
> Avramenko Andrew пишет:
>
>>>> перехватывать. Может быть это то, что Вы ищете? Но тут ядро должно быть
>>>> патченное.
>>> Патченое ли?
>>>
>>>> the audit subsystem in the Linux 2.6 kernel.
>>> Она ж там по дефолту.
>> А.. Ну это смотря как собрать. Совсем не знаком как в АЛЬТе собирают
>> ядро. Ну значит даже патчить ничего не надо - еще лучше. Если пакетик
>> нужен, могу дать ссылку.
>>
>> Кстати, если у нас нету аналога в сизифе, может собрать?
>
> А пакет acct разве не оно?
>
Да, похоже на то. Только audit умеет все системные вызовы писать (read,
write и т.д.). acct это умеет?
Avramenko Andrew пишет:
> Да, похоже на то. Только audit умеет все системные вызовы писать (read,
> write и т.д.). acct это умеет?
Я дальше apt-cache show не смотрел.
--
Терешков Евгений, ALT Linux Team.
Задавался много раз таким вопросом.
Но сообщество молчит.
Сделал на iptables сбор данных и дальнейшие танцы с его обработкой.
> Здравствуйте.
> Вот такая проблема - никак не врублюсь в сабж.
>
> Имеем - небольшая сетка (компов 20)
> шлюз -сизиф, NAT
> нужно считать траффик на каждый комп, причём не только суммарный, но и по каждому порту отдельно. Т.е. отдельно http (условно 80-83 порты), отдельно почту (25,110), icq (5190) ну и т.д.
> Следует уточнить, что это - не биллинг, т.е. особая точность тут не важна.
>
> сначала было просто у каждого компа - свой ip, по нему и считал через ulog-acctd -> мускул, из мускула собственный скрипт отображал всё как надо.
> банально на внешнем интерфейсе считался внешний траффик, на внутреннем - считался по внутреннему ip и соответственно разница суммы внутренних и внешнего траффиков считалась собственным траффиком шлюза.
>
> Потом появился прозрачный squid для http.
> Задача усложнилась. теперь не все пакеты, "пойманные" на внутреннем интерфейсе доходили до внешнего, а так-же часть пакетов внутрь приходило не с внешнего интерфейса, а из кеша сквида. стал обрабатывать информацию ulog-acctd с учётом сквидовских логов (что он берёт из кеша, а что - из интернета)
> Разброд увеличился, но кое-как общая картина-таки отображается.
>
> Теперь ещё усложнилась задачка.
> Появился виндовый терминал-сервер, и несколько клиентов, работающих на нём, имеют один IP на всех. как дальше считать -вообще не пойму.
> со сквидом ещё кое-как понятно. можно сделать авторизацию. А с остальным?
>
>
Kaydannik Alex пишет:
> Задавался много раз таким вопросом.
> Но сообщество молчит.
> Сделал на iptables сбор данных и дальнейшие танцы с его обработкой.
>
>> Здравствуйте.
>> Вот такая проблема - никак не врублюсь в сабж.
>>
>> Имеем - небольшая сетка (компов 20)
>> шлюз -сизиф, NAT
>> нужно считать траффик на каждый комп, причём не только суммарный, но и по каждому порту отдельно. Т.е. отдельно http (условно 80-83 порты), отдельно почту (25,110), icq (5190) ну и т.д.
>> Следует уточнить, что это - не биллинг, т.е. особая точность тут не важна.
>>
>> сначала было просто у каждого компа - свой ip, по нему и считал через ulog-acctd -> мускул, из мускула собственный скрипт отображал всё как надо.
>> банально на внешнем интерфейсе считался внешний траффик, на внутреннем - считался по внутреннему ip и соответственно разница суммы внутренних и внешнего траффиков считалась собственным траффиком шлюза.
>>
>> Потом появился прозрачный squid для http.
>> Задача усложнилась. теперь не все пакеты, "пойманные" на внутреннем интерфейсе доходили до внешнего, а так-же часть пакетов внутрь приходило не с внешнего интерфейса, а из кеша сквида. стал обрабатывать информацию ulog-acctd с учётом сквидовских логов (что он берёт из кеша, а что - из интернета)
>> Разброд увеличился, но кое-как общая картина-таки отображается.
>>
Вообще конечно интересная картина. Неужели вообще нету софта, выполняющего подобные функции по
подсчёту траффика? Под винду такие есть (Правда они объединяют в себе и "iptables" и "squid" и
подсчёт). Например Winroute Firewall и т.п.
P/S: Как хотя-бы считать размер запросов, уходящих со сквида во внешний мир, причём по клиентам?
--
Alexey Sidorov
mailto:alex@reutman.ru
JID: alex@reutman.ru
ICQ: 5052225
В сообщении от Среда 28 февраля 2007 Alexey Sidorov написал(a):
> Как хотя-бы считать размер запросов, уходящих со сквида во внешний мир,
> причём по клиентам?
sarg строит статистику сквида используя его логи
--
Мерзляков Е.А.
ПКБ Акустика
Мерзляков Евгений Анатольевич пишет:
> В сообщении от Среда 28 февраля 2007 Alexey Sidorov написал(a):
>> Как хотя-бы считать размер запросов, уходящих со сквида во внешний мир,
>> причём по клиентам?
>
> sarg строит статистику сквида используя его логи
>
А в логах сквида есть размер исходящих запросов?
--
Alexey Sidorov
mailto:alex@reutman.ru
JID: alex@reutman.ru
ICQ: 5052225
В сообщении от Среда 28 февраля 2007 Alexey Sidorov написал(a):
> А в логах сквида есть размер исходящих запросов?
извините, не заметил, что нужен размер исходящих запросов, обычно все входящие
запросы считают :)
на счет подсчета исходящих запросов ничего подсказать не могу :(
--
Мерзляков Е.А.
ПКБ Акустика
[-- Attachment #1: Type: text/plain, Size: 826 bytes --] Здравствуйте. Есть много писем вернувшихся отправителю с сообщением о невозможности доставки. В них вложены оригинальные письма в формате .eml. Существует ли какой-либо скрипт, который вытащит эти eml и отправит опять? Или хоть просто отправить уже сохранённые .eml опять. sendmail -i test@mydomen.com <letter.eml я знаю, но тут надо указывать адресата. А его надо брать из письма из поля To: Подскажите, есть ли готовый скрипт или придется изобретать самому? -- WBR, Dubrovskiy Vyacheslav [-- Attachment #2: S/MIME Cryptographic Signature --] [-- Type: application/x-pkcs7-signature, Size: 3249 bytes --]
> Или хоть просто отправить уже сохранённые .eml опять.
> sendmail -i test@mydomen.com <letter.eml я знаю, но тут надо указывать
> адресата. А его надо брать из письма из поля To:
> Подскажите, есть ли готовый скрипт или придется изобретать самому?
>
>
самому ж бістрее написать, чем искать.
вот пример (может и есть ошибки, но идея понятна, надеюсь)
grep your.eml '^To:' | awk '{print $2}'
Это д.б. извлечение вашего адресата
привет всем. подскажите как избавиться от папки unix-backup? [root@tank mnt]# ls -l /mnt/ total 4 drwxrwxrwx 1 root root 0 Jan 8 10:43 cdrom drwxr-xr-x 2 root root 4096 Jul 11 2004 disk drwxrwxrwx 1 root root 0 Jan 8 10:43 floppy ?--------- ? ? ? ? ? unix-backup
2007/3/5, Igo <altlinux aaanet.ru>:
> привет всем.
> подскажите как избавиться от папки unix-backup?
>
> [root@tank mnt]# ls -l /mnt/
> total 4
> drwxrwxrwx 1 root root 0 Jan 8 10:43 cdrom
> drwxr-xr-x 2 root root 4096 Jul 11 2004 disk
> drwxrwxrwx 1 root root 0 Jan 8 10:43 floppy
> ?--------- ? ? ? ? ? unix-backup
umount /mnt/unix-backup
Ну или более жестко - umount -l -f /mnt/unix-backup
--
С уважением,
Евгений Остапец
uin: 23747217
jid: eugene_ostapets@jabber.ru
Hello, all! кто-нибудь может поделиться архивом с графическим спамом? требуется для проверки-тренировки-настройки fuzzyocr. желательно из зоны .ru взамен могу кинуть простой и ненавязчивый спам без графики. много. самовывоз. =) sy, peter
Здравствуйте, Peter. Вы писали 5 марта 2007 г., 16:46:34: > кто-нибудь может поделиться архивом с графическим спамом? требуется для > проверки-тренировки-настройки fuzzyocr. желательно из зоны .ru Есть у меня ~5000 писем(250 Мб) текущего года всякого разного спама ru- не ru, а если поискать то в архиве еще больше( если не стер то >50000). -- С уважением, Anatol
? а оно поможет?
если не ошибаюсь fuzzyocr не умеет русский распознавать.
Далее распознаный текст все равно spamassassin'у передаётся.
2007/3/5, Peter Evdokimov <blackp@vpmes.ru>:
> Hello, all!
>
> кто-нибудь может поделиться архивом с графическим спамом? требуется для
> проверки-тренировки-настройки fuzzyocr. желательно из зоны .ru
> взамен могу кинуть простой и ненавязчивый спам без графики. много.
> самовывоз. =)
>
--
Alexey Shabalin
On Mon, 5 Mar 2007 20:28:57 +0300 Alexey Shabalin wrote: > ? а оно поможет? помогает. > если не ошибаюсь fuzzyocr не умеет русский распознавать. ошибаешься, умеет и неплохо. есть хитрый файлик fuzzyocr.words, туда пишешь русские слова, что встречаются в картинках часто. но у меня маленькая текущая база. то, что блокируется сидит глубоко в недрах mysql-вской базы от maia, все равно нужно руками предварительно пересортировывать. думал, может у кого есть уже отсортированное. > Далее распознаный текст все равно spamassassin'у передаётся. fuzzyocr - в данном случае как еще один тест/плагин sa. sy, peter
On Mon, 5 Mar 2007 18:29:11 +0300
Anatol B. Bazyukin wrote:
> > кто-нибудь может поделиться архивом с графическим спамом? требуется
> > для проверки-тренировки-настройки fuzzyocr. желательно из зоны .ru
>
> Есть у меня ~5000 писем(250 Мб) текущего года всякого разного спама
> ru- не ru, а если поискать то в архиве еще больше( если не стер то
> >50000).
просто спам у меня тоже за годы накопился. мне нужен только
_фильтрованный_ графический спам (анимированные и статические картинки
во всех проявлениях). если нет - в любом случае спасибо за беспокойство
=)
sy,
peter
[-- Attachment #1: Type: text/plain, Size: 409 bytes --] Igo wrote: > привет всем. > подскажите как избавиться от папки unix-backup? > > [root@tank mnt]# ls -l /mnt/ > total 4 > drwxrwxrwx 1 root root 0 Jan 8 10:43 cdrom > drwxr-xr-x 2 root root 4096 Jul 11 2004 disk > drwxrwxrwx 1 root root 0 Jan 8 10:43 floppy > ?--------- ? ? ? ? ? unix-backup Ну или как уже подсказали umount... или если все печально, то fsck. [-- Attachment #2: OpenPGP digital signature --] [-- Type: application/pgp-signature, Size: 252 bytes --]
никак
[root@tank mnt]# umount /mnt/unix-backup
[root@tank mnt]# ls -l /mnt/
total 4
drwxrwxrwx 1 root root 0 Jan 8 10:43 cdrom
drwxr-xr-x 2 root root 4096 Jul 11 2004 disk
drwxrwxrwx 1 root root 0 Jan 8 10:43 floppy
?--------- ? ? ? ? ? unix-backup
[root@tank mnt]# umount -l -f /mnt/unix-backup
[root@tank mnt]# ls -l /mnt/
total 4
drwxrwxrwx 1 root root 0 Jan 8 10:43 cdrom
drwxr-xr-x 2 root root 4096 Jul 11 2004 disk
drwxrwxrwx 1 root root 0 Jan 8 10:43 floppy
?--------- ? ? ? ? ? unix-backup
> 2007/3/5, Igo <altlinux aaanet.ru>:
>
>> привет всем.
>> подскажите как избавиться от папки unix-backup?
>>
>> [root@tank mnt]# ls -l /mnt/
>> total 4
>> drwxrwxrwx 1 root root 0 Jan 8 10:43 cdrom
>> drwxr-xr-x 2 root root 4096 Jul 11 2004 disk
>> drwxrwxrwx 1 root root 0 Jan 8 10:43 floppy
>> ?--------- ? ? ? ? ? unix-backup
>>
> umount /mnt/unix-backup
> Ну или более жестко - umount -l -f /mnt/unix-backup
>
2007/3/6, Igo <altlinux aaanet.ru>:
> никак
Тогда спасет только перезагрузка... Но с начала выясни на mount или
cat /proc/mounts что это смонтировано и прими меры к неповторению
ситуации
--
С уважением,
Евгений Остапец
uin: 23747217
jid: eugene_ostapets@jabber.ru
В сообщении от Среда 28 февраля 2007 Alexey Sidorov написал(a): > А в логах сквида есть размер исходящих запросов? как раз по вашему вопросу, с опеннет приехало: В новой версии squid-2.6.STABLE10 исправлено несколько ошибок в коде подсистемы ввода/вывода diskd, реализована примитивная поддержка HTTP/1.1 chunked encoding, в лог файле теперь отображается размер HTTP-запроса. http://www.opennet.ru/opennews/art.shtml?num=10018 -- Мерзляков Е.А. ПКБ Акустика
Мерзляков Евгений Анатольевич пишет:
> В сообщении от Среда 28 февраля 2007 Alexey Sidorov написал(a):
>> А в логах сквида есть размер исходящих запросов?
>
> как раз по вашему вопросу, с опеннет приехало:
>
> В новой версии squid-2.6.STABLE10 исправлено несколько ошибок в коде
> подсистемы ввода/вывода diskd, реализована примитивная поддержка HTTP/1.1
> chunked encoding, в лог файле теперь отображается размер HTTP-запроса.
> http://www.opennet.ru/opennews/art.shtml?num=10018
>
круто.
посмотрим....
--
С уважением, Алексей Сидоров
mailto:alex@reutman.ru
JID: alex@reutman.ru
ICQ: 5052225
Здравствуйте, Alexey.
Вы писали 18 декабря 2006 г., 13:13:17:
> Теперь ещё усложнилась задачка.
> Появился виндовый терминал-сервер, и несколько клиентов,
> работающих на нём, имеют один IP на всех. как дальше считать -вообще
> не пойму.
> со сквидом ещё кое-как понятно. можно сделать авторизацию. А с остальным?
В свое время озадачился точно такой же проблемой. Долго думал,
ковырялся. Сразу скажу, что так и не решил, проблема сама отпала, но
на стадии ковыряния выходов я
видел два - авторизация на прокси или что-то вроде Traffic Inspeсtor,
клиентская часть которого считает трафик и отдает инфу на сервер.
--
С уважением,
Nikolay mailto:nikolay.hvan@gmail.com
Доброго всем дня! Очень хотелось бы найти хорошее средство управление проектом под linux, а еще лучше кросс-платформенное. В данный момент остановился на OpenProject, но он довольно громоздкий, на английском (может для кого-то станет преградой). Возможно существует что-нибудь более маленькое и функциональное для этих целей с чем кто-нибудь из Вас уже работал. Посоветуйте пожалуйста. -- С уважением, Андрей
Здравствуйте! Есть терминалсервер, к которому клиенты ходят по vnc:/ Проблема в следующем: на клиентской стороне радиоканал 256Кбит. При одном подключении скорость/комфортность работы прекрасная, при двух -- вполне приемлемая, при третьем... все плохо. На серверной стороне 1Мбит с WinRoute скраю. Терминалсервер заведомо достаточно мошный. Вопрос: как и чем можно оценить скорость передачи и загрузку линии на предмет обнаружения узкого места. Спасибо! -- AK1041-UANIC
Andrey Kuleshov пишет:
> Здравствуйте!
>
> Есть терминалсервер, к которому клиенты ходят по vnc:/
> Проблема в следующем: на клиентской стороне радиоканал 256Кбит. При
> одном подключении скорость/комфортность работы прекрасная, при двух --
> вполне приемлемая, при третьем... все плохо. На серверной стороне 1Мбит
> с WinRoute скраю. Терминалсервер заведомо достаточно мошный.
> Вопрос: как и чем можно оценить скорость передачи и загрузку линии на
> предмет обнаружения узкого места.
>
> Спасибо!
>
Andrey Kuleshov пишет:
> Здравствуйте!
>
> Есть терминалсервер, к которому клиенты ходят по vnc:/
> Проблема в следующем: на клиентской стороне радиоканал 256Кбит. При
> одном подключении скорость/комфортность работы прекрасная, при двух --
> вполне приемлемая, при третьем... все плохо. На серверной стороне 1Мбит
> с WinRoute скраю. Терминалсервер заведомо достаточно мошный.
> Вопрос: как и чем можно оценить скорость передачи и загрузку линии на
> предмет обнаружения узкого места.
>
> Спасибо!
>
во время загрузки канала
1. traceroute (задержки)
2. ethereal (например, от кого приходят icmp 4)
Здравствуйте, Andrey. Вы писали 13 марта 2007 г., 16:53:03: > Здравствуйте! > Есть терминалсервер, к которому клиенты ходят по vnc:/ > Проблема в следующем: на клиентской стороне радиоканал 256Кбит. При > одном подключении скорость/комфортность работы прекрасная, при двух -- > вполне приемлемая, при третьем... все плохо. На серверной стороне 1Мбит > с WinRoute скраю. Терминалсервер заведомо достаточно мошный. > Вопрос: как и чем можно оценить скорость передачи и загрузку линии на > предмет обнаружения узкого места. > Спасибо! Если я правильно понимаю Вас, у вас на терминальном сервере 1 Мбит, и три клиента работают через один радиоканал 256 Кбит? И сервер под Windows? Если да, то клинетам вырубить все возможные настройки графики и отображения - 256 цветов, отключить поддержку тем, картинок рабочего стола, эффектов отображения (всяческие выпадающие меню) и прочих графических наворотов - должно немного помочь. По моему глубокому убеждению, 256 Кбит - это для нормальной работы одного клиент vnc. Для трех - однозначно - мало. Нужно расширять канал. Все вышесказанное относится к реализации терминалсервера под Windows. -- С уважением, Nikolay mailto:nikolay.hvan@gmail.com
> Здравствуйте!
>
> Есть терминалсервер, к которому клиенты ходят по vnc:/
> Проблема в следующем: на клиентской стороне радиоканал 256Кбит. При
> одном подключении скорость/комфортность работы прекрасная, при двух --
> вполне приемлемая, при третьем... все плохо. На серверной стороне 1Мбит
> с WinRoute скраю. Терминалсервер заведомо достаточно мошный.
> Вопрос: как и чем можно оценить скорость передачи и загрузку линии на
> предмет обнаружения узкого места.
>
> Спасибо!
>
> --
>
> AK1041-UANIC
1. netflow + MRTG
Например, сенсор - fprobe, коллектор flow-capture из пакета flow-tools. Из этого же пакета и средства обработки трафика. По итогам работы получатся бинарные файлы, которые можно преобразовать в RRD-файл и "скормить" его MRTG например. Или еще чему-нибудь, чтобы наглядный график получить.
2. SNMP + MRTG
Под оффтопик есть свои сенсоры, коллекторы и т.д.
С уважением,
Дмитрий Долгополов.
На календаре было: Вторник, 13 Март 2007 года, Nikolay Hvan писал(а) в сообщении: NH == Nikolay Hvan NH> По моему глубокому убеждению, 256 Кбит - это для нормальной работы NH> одного клиент vnc. Для трех - однозначно - мало. Мои тесты показали, что для нормальной работы терминальной сессии хватает 128К... 256К вполне нормально для трех клиентов, так как пики активности редко совпадают во времени. Даже 4 потянет, но уже с тормозами. Естественно, что нужно провести все возможные оптимизации, отключить мапинг локальных дисков, звука, тем и т.д. Особое внимание нужно обратить на всякие анимированные заставки при запуске 1С, например... Ну а канал расширять, это святое ... Особенно, если в этот канал кто-нить попытается залить почтовое сообщение на 10М ... Нескольким сотрудникам одновременно :)... P.S. Хорошие результаты показал наш клиент rdesktop. Шустрее, чем родной под Вынь. -- Best regards, Dmitriy L. Kruglikov .--. Dmitriy.Kruglikov_at_gmail_dot_com |@_@ | DKR6-RIPE |!_/ | XMPP:dkr6@jabber.ru // \ \ (| | ) /'\_ _/`\ Powered by Linux \___)=(___/ -- Мысль -- Говори не о том, что прочел, а о том, что понял. -- Азербайджанская пословица
Nikolay Hvan wrote: > Здравствуйте, Andrey. > > Вы писали 13 марта 2007 г., 16:53:03: > > >> Здравствуйте! >> > > >> Есть терминалсервер, к которому клиенты ходят по vnc:/ >> Проблема в следующем: на клиентской стороне радиоканал 256Кбит. При >> одном подключении скорость/комфортность работы прекрасная, при двух -- >> вполне приемлемая, при третьем... все плохо. На серверной стороне 1Мбит >> с WinRoute скраю. Терминалсервер заведомо достаточно мошный. >> Вопрос: как и чем можно оценить скорость передачи и загрузку линии на >> предмет обнаружения узкого места. >> > > >> Спасибо! >> > > > Если я правильно понимаю Вас, у вас на терминальном сервере 1 Мбит, и > три клиента работают через один радиоканал 256 Кбит? И сервер под > Windows? > Сервер под ALT Sisyphus x86_64 почти текущий + win4lin TS + vncserver 4.1.1 из FC7. Точнее это кластер терминалсервер+сервер БД. Базы пока вертятся на M$SQL до появления 1С 8.1, потом переход на Postgres > Если да, то клинетам вырубить все возможные настройки графики и > отображения - 256 цветов, отключить поддержку тем, картинок рабочего > стола, эффектов отображения (всяческие выпадающие меню) и прочих > графических наворотов - должно немного помочь. > Это, естественно, сделано. > По моему глубокому убеждению, 256 Кбит - это для нормальной работы > одного клиент vnc. Для трех - однозначно - мало. Нужно расширять > канал. > Ок! Вот это и выяснялось. > Все вышесказанное относится к реализации терминалсервера под Windows. > Похоже, к терминалсерверам вообще -- AK1041-UANIC
Dmitriy L. Kruglikov wrote: > На календаре было: Вторник, 13 Март 2007 года,Nikolay Hvan писал(а) в сообщении: > NH == Nikolay Hvan > NH> По моему глубокому убеждению, 256 Кбит - это для нормальной работыNH> одного клиент vnc. Для трех - однозначно - мало. > Мои тесты показали, что для нормальной работы терминальной сессии хватает 128К...256К вполне нормально для трех клиентов, так как пики активностиредко совпадают во времени. Даже 4 потянет, но уже с тормозами. > У меня начинает сильно тормозить на третьей :( > P.S. Хорошие результаты показал наш клиент rdesktop. Шустрее, чем родной под Вынь. > М... а существует ли rdesktop server? В смысле как коннектиться к терминальным сессиям? -- AK1041-UANIC
Dmitry Dolgopolov wrote: >> Здравствуйте!> > Есть терминалсервер, к которому клиенты ходят по vnc:/> Проблема в следующем: на клиентской стороне радиоканал 256Кбит. При> одном подключении скорость/комфортность работы прекрасная, при двух --> вполне приемлемая, при третьем... все плохо. На серверной стороне 1Мбит> с WinRoute скраю. Терминалсервер заведомо достаточно мошный.> Вопрос: как и чем можно оценить скорость передачи и загрузку линии на> предмет обнаружения узкого места.> > Спасибо!> > -- > > AK1041-UANIC >> > 1. netflow + MRTGНапример, сенсор - fprobe, коллектор flow-capture из пакета flow-tools. Из этого же пакета и средства обработки трафика. По итогам работы получатся бинарные файлы, которые можно преобразовать в RRD-файл и "скормить" его MRTG например. Или еще чему-нибудь, чтобы наглядный график получить. > 2. SNMP + MRTG > А не попадался ли man/HOWTO обо всем этом? Много всего сразу :( > Под оффтопик есть свои сенсоры, коллекторы и т.д. > Надеюсь, не понадобится. Винда первая в очереди на снос. -- AK1041-UANIC
На календаре было: Среда, 14 Март 2007 года, Andrey Kuleshov писал(а) в сообщении: AK == Andrey Kuleshov AK> Сервер под ALT Sisyphus x86_64 почти текущий + win4lin TS + vncserver AK> 4.1.1 из FC7. А по локалке он отдается нормально на третьем коннекте ? Может ему не хватает производительности ? -- Best regards, Dmitriy L. Kruglikov .--. Dmitriy.Kruglikov_at_gmail_dot_com |@_@ | DKR6-RIPE |!_/ | XMPP:dkr6@jabber.ru // \ \ (| | ) /'\_ _/`\ Powered by Linux \___)=(___/ -- Мысль -- Сомнение - полпути к мудрости. -- Публилий Сир
В сообщении от Wednesday 14 March 2007 12:52:00 Andrey Kuleshov написал(а):
> В смысле как коннектиться к терминальным сессиям?
Я конекчусь таким скриптом, просто лень набирать в командной строке,:
#!/bin/sh
rdesktop <servername> -u <username> -p <userpassword> -k en-us -g 920x690
--
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
XMPP: ashen@altlinux.org, AlexShen@jabber.ru
ICQ: 271053845
Шенцев Алексей Владимирович wrote:
> В сообщении от Wednesday 14 March 2007 12:52:00 Andrey Kuleshov написал(а):
>
>> В смысле как коннектиться к терминальным сессиям?
>>
> Я конекчусь таким скриптом, просто лень набирать в командной строке,:
> #!/bin/sh
> rdesktop <servername> -u <username> -p <userpassword> -k en-us -g 920x690
>
А откуда взять <servername> для сессий на терминалсервере?
--
AK1041-UANIC
Dmitriy L. Kruglikov wrote:
> На календаре было: Среда, 14 Март 2007 года,
> Andrey Kuleshov писал(а) в сообщении:
>
> AK == Andrey Kuleshov
>
> AK> Сервер под ALT Sisyphus x86_64 почти текущий + win4lin TS + vncserver
> AK> 4.1.1 из FC7.
>
> А по локалке он отдается нормально на третьем коннекте ?
> Может ему не хватает производительности ?
>
По локалке в силу qemu замедления (отставание указателя мыши во всяком
случае) видны и на первой сессии. Это не страшно. Эмулятор все-таки. А
так запас мощности у терминалсервера приличный: два четырехядерных камня
2.8Ггц с 4 гигами памяти + 2 гигабитные сетевушки
--
AK1041-UANIC
В сообщении от Wednesday 14 March 2007 14:00:40 Andrey Kuleshov написал(а):
> А откуда взять <servername> для сессий на терминалсервере?
Ммммм .... <servername> -это имя компа, к которому ты конектишься. У меня их,
серверов, на которых установлены сервер терминалов, несколько, например,
такие: consultant, srv1c. Вместо имени компа можно указать ip-адрес.
--
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
XMPP: ashen@altlinux.org, AlexShen@jabber.ru
ICQ: 271053845
Шенцев Алексей Владимирович wrote: > В сообщении от Wednesday 14 March 2007 14:00:40 Andrey Kuleshov написал(а): > >> А откуда взять <servername> для сессий на терминалсервере? >> > Ммммм .... <servername> -это имя компа, к которому ты конектишься. Физический комп под линуксом, туда и ssh прекрасно коннектится > У меня их, > серверов, на которых установлены сервер терминалов, несколько, например, > такие: consultant, srv1c. Вместо имени компа можно указать ip-адрес. > Спасибо! Бум пробовать обращение по ip. -- AK1041-UANIC
На календаре было: Среда, 14 Март 2007 года, Andrey Kuleshov писал(а) в сообщении: AK == Andrey Kuleshov AK> По локалке в силу qemu замедления (отставание указателя мыши во всяком AK> случае) видны и на первой сессии. А если > 2 ? Есть тормоза такие же, как и по каналу ? Нет ли у клиента третьей сессии какого-то хитрого маппинга (локальных дисков)? Или, не дай Бог, профиля сетевого, перемещаемого, в котором пару фильмов заныкано? -- Best regards, Dmitriy L. Kruglikov .--. Dmitriy.Kruglikov_at_gmail_dot_com |@_@ | DKR6-RIPE |!_/ | XMPP:dkr6@jabber.ru // \ \ (| | ) /'\_ _/`\ Powered by Linux \___)=(___/ -- Мысль -- Не будешь учиться - проживешь как мышь в погребе. -- Максим Горький
Dmitriy L. Kruglikov пишет: > На календаре было: Среда, 14 Март 2007 года, > Andrey Kuleshov писал(а) в сообщении: > > AK == Andrey Kuleshov > > AK> По локалке в силу qemu замедления (отставание указателя мыши во всяком > AK> случае) видны и на первой сессии. > > А если > 2 ? > Есть тормоза такие же, как и по каналу ? > Нету. В локалке все красиво и увеличения нагрузки на терминалсервер вообще незаметно > Нет ли у клиента третьей сессии какого-то хитрого маппинга (локальных дисков)? > Или, не дай Бог, профиля сетевого, перемещаемого, > в котором пару фильмов заныкано? > Не! Там вообще ничего нету: терминальные сессии заточены только для работы с 1С Кроме того использованая версия win4lin вообще в сети ничего не допускает, кроме как выход в инет, который виртуальным машинам, естественно, перекрыт -- AK1041-UANIC
> Dmitry Dolgopolov wrote: > >> Здравствуйте!> > Есть терминалсервер, к которому клиенты ходят по vnc:/> Проблема в следующем: на клиентской стороне радиоканал 256Кбит. При> одном подключении скорость/комфортность работы прекрасная, при двух --> вполне приемлемая, при третьем... все плохо. На серверной стороне 1Мбит> с WinRoute скраю. Терминалсервер заведомо достаточно мошный.> Вопрос: как и чем можно оценить скорость передачи и загрузку линии на> предмет обнаружения узкого места.> > Спасибо!> > -- > > AK1041-UANIC > >> > > 1. netflow + MRTGНапример, сенсор - fprobe, коллектор flow-capture из пакета flow-tools. Из этого же пакета и средства обработки трафика. По итогам работы получатся бинарные файлы, которые можно преобразовать в RRD-файл и "скормить" его MRTG например. Или еще чему-нибудь, чтобы наглядный график получить. > > 2. SNMP + MRTG > > > А не попадался ли man/HOWTO обо всем этом? Много всего сразу :( > > Под оффтопик есть свои сенсоры, коллекторы и т.д. > > > Надеюсь, не понадобится. Винда первая в очереди на снос. > > > -- > > AK1041-UANIC > > > По netflow вот - http://www.opennet.ru/docs/RUS/netflow_bsd/ Хотя под линукс я использовал связку fprobe-ulog + flow-tools + самописная веб-морда По SNMP и MRTG пока посоветовать ничего немогу. Руки не доходили. Только видел как это работает и выглядит...
On Friday 02 March 2007, Slava Dubrovskiy wrote:
> Или хоть просто отправить уже сохранённые .eml опять.
> sendmail -i test@mydomen.com <letter.eml я знаю, но тут надо указывать
sendmail -it <letter.eml
--
С уважением, Сергей
a_s_y@sama.ru
Здравствуйте! А как все-таки правильнее и проще делать копию некоего каталога со всем его содержимым? tar, насколько я понял, не умеет упаковывать сокеты, cpio вроде умеет, но на практике не все, что попало в архив, может быть оттуда извлечено: [root@m1 tmp]# find /dev | cpio -o > dev.cpio 1142 blocks [root@m1 tmp]# cat dev.cpio | cpio -i ... cpio: dev/drbd0: mknod: Invalid argument cpio: dev/drbd1: mknod: Invalid argument ... [root@m1 tmp]# ls /dev > dev.old [root@m1 tmp]# ls dev > dev.new [root@m1 tmp]# diff -u dev.old dev.new --- dev.old 2007-01-11 09:46:31 +0300 +++ dev.new 2007-01-11 09:46:36 +0300 @@ -361,8 +361,6 @@ dmmidi1 dmmidi2 dmmidi3 -drbd0 -drbd1 dri dsp dsp1 Все средства более высокого уровня с ротацией, инкрементальным копированием и т.д., как я понимаю, сводятся к предыдущим. Так чем тогда получить полную копию содержимого каталога? -- С уважением, Прокопьев Евгений
> cpio: dev/drbd0: mknod: Invalid argument
> cpio: dev/drbd1: mknod: Invalid argument
modprobe drbd?
Avramenko Andrew пишет:
>>cpio: dev/drbd0: mknod: Invalid argument
>>cpio: dev/drbd1: mknod: Invalid argument
>
>
> modprobe drbd?
А как невозможность создания устройства связана с каком-то модулем
(кстати, на машине, на которой эта проблема была обнаружена, drbd всегда
загружен). Да, dev/drbd* - не единственные пострадавшие, просто эта
система уже несколько раз переезжала с помощью cpio. Если теперь после
apt-get reinstall dev повторить эксперимент, мы получим:
# cat dev.cpio | cpio -i 2>&1 | grep Invalid
cpio: dev/sdik8: mknod: Invalid argument
cpio: dev/ttySR21: mknod: Invalid argument
cpio: dev/sdge8: mknod: Invalid argument
cpio: dev/ttySR12: mknod: Invalid argument
cpio: dev/sdgi4: mknod: Invalid argument
cpio: dev/ttyT1: mknod: Invalid argument
cpio: dev/sdea14: mknod: Invalid argument
...
и т.д.
В свете смерти(?) dump/restore все это выглядит очень печально,
прямо-таки безнадежно :(
--
С уважением, Прокопьев Евгений
завел https://bugzilla.altlinux.org/show_bug.cgi?id=11229 -- С уважением, Прокопьев Евгений
[-- Attachment #1: Type: text/plain, Size: 188 bytes --] On Mon, Mar 26, 2007 at 09:05:08PM +0400, Eugene Prokopiev wrote: > завел https://bugzilla.altlinux.org/show_bug.cgi?id=11229 Закрыл как INVALID, подробности по ссылке. -- ldv [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
Dmitry V. Levin пишет:
> On Mon, Mar 26, 2007 at 09:05:08PM +0400, Eugene Prokopiev wrote:
>
>>завел https://bugzilla.altlinux.org/show_bug.cgi?id=11229
>
>
> Закрыл как INVALID, подробности по ссылке.
спасибо
вот как полезно бывает вешать баги :)
--
С уважением, Прокопьев Евгений
Какие высокоуровневные средства бэкапа (с ротацией, инкрементальным бэкапом) умеют нормально обходиться с файлами устройств, сокетами и т.д. (т.е. используют cpio?) и при этом позволяют достать любой бэкап системы из архива именно в виде, пригодном к простому вливанию на примонтированные пустые фс? -- С уважением, Прокопьев Евгений
Приветствую всех! Ситуация - головной офис и 20 филиалов в разных городах. Вопрос - кто какие решения использует для соединения всех филиалов в одну сеть? На каком оборудовании, может кто-то использует интегрированные решения, типа Avaya IP Office? Нужно поднимать ip-телефонию и передачу данных. -- WBR, Osipov Andrei
.. из под винды захожу на \\server вижу в проводнике: Описание сервера1 (server) тычу в расшареный ресурс tmp - картина меняется, вижу в проводнике: tmp на Описание сервера2 (server) Описание сервера1 <> Описание сервера2 что собственно и достает сервер был перенесен с одного объекта на другой и в smb.conf я переправил строчку server string с Описание сервера2 на Описание сервера1 однако эффект достигнут лишь частично где еще кроме smb.conf может собака зарыться
1. s/проблемма/проблема/ 2. тема для samba@ ________________________ С уважением, Вадим Илларионов системный администратор Усолье-Сибирский почтамт JID: см. <mailto:> UIN: 7899517 Телефоны: Мобильный +7 904 658-4154 Рабочий +7 39543 444-00
В сообщении от Friday 06 April 2007 15:47:58 Вадим Илларионов написал(а):
> От Dmitriy L. Kruglikov поступило следующее:
> > Разработка корпоративных стандартов - то же хорошо, но не везде
> > руководство достаточно четко осознает их необходимость.
> Уточню. Вообще мало где дорожат внутрикорпоративной инфой -
> кроме тех мест, где за утрату жёстко имеют сверху.
Всё верно. Интересно было бы увидеть/услышать кто как сиё формулирует. Думаю
многим интересно и полезно будет.
--
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
XMPP: ashen@altlinux.org, AlexShen@jabber.ru
ICQ: 271053845
On Fri, 6 Apr 2007 16:12:10 +0400
Шенцев Алексей Владимирович wrote:
> > Уточню. Вообще мало где дорожат внутрикорпоративной инфой -
> > кроме тех мест, где за утрату жёстко имеют сверху.
> Всё верно. Интересно было бы увидеть/услышать кто как сиё
> формулирует. Думаю многим интересно и полезно будет.
Этот вопрос, на мой взгляд, полностью отвечает задачам этого
листа рассылки. И обсуждать его надо именно здесь, а не в
курилке.
Я мог бы сходу написать целый трактат на эту тему, но по опыту
прошлых обсуждений знаю сколь неблагодарное это дело. Серое
большинство начинает кидаться на тебя с такой дикой злобой! Мол,
пошёл на хер со своими нравоучениями, как хотим, так и работаем.
Это самая настоящая безтормозная система, и таких админов я бы
не держал лишнего часа.
Во время одного из последних обсуждений срезал меня Максим
Отставнов. Он написал очень незатейливо: "Мужик, кончай стремать
людей". Вот такое понимание угроз безопасности в информационной
системе. А пытался я доказать ему, что нельзя обсуждать вопрос о
том, как из дома попасть в корпоративную сеть. Уметь-то можно
и нужно, но делать так нельзя. Он же мне отвечал, мало ли что
нельзя, а мне так удобно и я так хочу. Т.е. никаких внутренних
врождённых запретов и установок, без чего настоящий админ
невозможен. Ну, и как Вы считаете, интересно мне принимать
участие в таком обсуждении, с таким составом аргументации?
Посему приношу извинения.
--
С уважением,
С.С.Скулаченко
В сообщении от Friday 06 April 2007 18:25:40 Sergey S. Skulachenko написал(а): > On Fri, 6 Apr 2007 16:12:10 +0400 > > Шенцев Алексей Владимирович wrote: > > > Уточню. Вообще мало где дорожат внутрикорпоративной инфой - > > > кроме тех мест, где за утрату жёстко имеют сверху. > > > > Всё верно. Интересно было бы увидеть/услышать кто как сиё > > формулирует. Думаю многим интересно и полезно будет. > > Этот вопрос, на мой взгляд, полностью отвечает задачам этого > листа рассылки. И обсуждать его надо именно здесь, а не в > курилке. весь мильон процентов здесь! > Я мог бы сходу написать целый трактат на эту тему, но по опыту > прошлых обсуждений знаю сколь неблагодарное это дело. Мне лично интересно будет прочесть. Жду ваше творение. Вопрос то достаточно актуален. > Серое большинство начинает кидаться на тебя с такой дикой злобой! Мол, > пошёл на хер со своими нравоучениями, как хотим, так и работаем. А мне на таких плевать. Есть вещи которые должны быть. Хотят не хотят их принять другие не в счёт. Это должно быть и оно будет, не взирая ни на что. > Это самая настоящая безтормозная система, и таких админов я бы > не держал лишнего часа. Однозначно. > Во время одного из последних обсуждений срезал меня Максим > Отставнов. Он написал очень незатейливо: "Мужик, кончай стремать > людей". Вот такое понимание угроз безопасности в информационной > системе. А пытался я доказать ему, что нельзя обсуждать вопрос о > том, как из дома попасть в корпоративную сеть. Уметь-то можно > и нужно, но делать так нельзя. Он же мне отвечал, мало ли что > нельзя, а мне так удобно и я так хочу. Т.е. никаких внутренних > врождённых запретов и установок, без чего настоящий админ > невозможен. Таких в /dev/null > Ну, и как Вы считаете, интересно мне принимать > участие в таком обсуждении, с таким составом аргументации? А вы не обращайте внимание на таких. Это их проблемы и в финансовом выражении и в виде уголовной отвественности за утечку инфы и финансовый ущерб конторе по их вине. > Посему приношу извинения. Передо мной вы ни в чём не виноваты. И мне интересен ваш взгляд на требования информационной безопастности на предприятии. Жду вашу озвучку. -- С уважением Шенцев Алексей Владимирович. E-mail: ashen@nsrz.ru XMPP: ashen@altlinux.org, AlexShen@jabber.ru ICQ: 271053845
[-- Attachment #1: Type: text/plain, Size: 672 bytes --] On Fri, Apr 06, 2007 at 06:25:40PM +0400, Sergey S. Skulachenko wrote: SSS> системе. А пытался я доказать ему, что нельзя обсуждать вопрос о SSS> том, как из дома попасть в корпоративную сеть. "попасть в корпоративную сеть" понятие растяжимое. И бизнес бывает разный. В IT нет вообще нерушимых правил. Есть подходящие к конкретной ситуации и не подходящие. И решает это как раз IT'директор, согласовывая с другими директорами. -- С уважением, Денис http://freesource.info ---------------------------------------------------------------------------- Как меня достал этот mc и libgpm. Mouse, боюсь что на этот раз ты крайним будешь. -- ldv in #3867 [-- Attachment #2: Digital signature --] [-- Type: application/pgp-signature, Size: 189 bytes --]
On Mon, 9 Apr 2007 00:05:42 +0400
Денис Смирнов wrote:
> "попасть в корпоративную сеть" понятие растяжимое.
Нет, очень конкретное. Это значит получить те же права, что имеет
собственная рабочая станция в корпоративной сети. Уровень
допуска в зависимости от собственной роли может быть очень не
маленьким. Дыра явная.
Если настаивать "мне так удобно", то выйдя утром на работу,
можно обнаружить, что пропуск уже погашен и офисная обувь вместе
с чайной кружкой уже не доступны. Иными словами, что-либо
согласовать со службой (экономической) безопасности уже
невозможно. А в её составе кроме аналитиков есть ещё
подразделение собственной безопасности. С ними вообще не резон
что-либо обсуждать, так как ребята там не приучены повторять
дважды, и вид имеют крайне конкретный. Никакой растяжимости,
уверяю Вас.
Т.е. я с Вами во всём согласен с небольшой поправкой: директор
ДИТа устанавливает правила в пределах своей компетенции. А вот с
другими директорами он ничего не согласовывает. Они для него
остаются простыми пользователями, привыкшими подчиняться.
Ничего не согласовывает и со службой безопасности. Он
_уведомляет_ её о правилах а также о ролях каждого из
пользователей, а СЭЗ принимает эту информацию к действию.
--
С уважением,
С.С.Скулаченко
Тема очень актуальна!!
Поскольку у меня обратная ситуация. У нас в компании главбух и генеральный
хочет
удаленно работать с корпоративной сетью.
Поэтому хотелось бы услышать коментарии на тему как правильно это
организовать.
Сам планирую VPN на LINUX и в него затунелить Цитрих Метафрейм.
А приложения уже через Цитрих раздовать.
----- Original Message -----
From: "Денис Смирнов" <mithraen@altlinux.ru>
To: "ALT Linux sysadmin discuss" <sysadmins@lists.altlinux.org>
Sent: Monday, April 09, 2007 12:05 AM
Subject: Re: [Sysadmins]Политика информационной безопастности на предприятии
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins
>
VPN-сервер - POPTOP, документация на оффсайте как интегрировать в существующую сеть windows присутствует. Единственная проблема может возникнуть с Самбой, но тут попытаемся помочь:) Здравствуйте Вы писали 9 апреля 2007 г., 13:25:50: > Тема очень актуальна!! > Поскольку у меня обратная ситуация. У нас в компании главбух и генеральный > хочет > удаленно работать с корпоративной сетью. > Поэтому хотелось бы услышать коментарии на тему как правильно это > организовать. > Сам планирую VPN на LINUX и в него затунелить Цитрих Метафрейм. > А приложения уже через Цитрих раздовать. > ----- Original Message ----- > From: "Денис Смирнов" <mithraen@altlinux.ru> > To: "ALT Linux sysadmin discuss" <sysadmins@lists.altlinux.org> > Sent: Monday, April 09, 2007 12:05 AM > Subject: Re: [Sysadmins]Политика информационной безопастности на предприятии >> _______________________________________________ >> Sysadmins mailing list >> Sysadmins@lists.altlinux.org >> https://lists.altlinux.org/mailman/listinfo/sysadmins >> > _______________________________________________ > Sysadmins mailing list > Sysadmins@lists.altlinux.org > https://lists.altlinux.org/mailman/listinfo/sysadmins -- С уважением, Дмитрий Борисов mailto:dborisov@datakrat.ru
Я думаю что Самбу, все же не стоит выкидывать наружу, по моему
непросвещенному мнению
кривоватая она и дырявая.
----- Original Message -----
From: "Dmitriy.Borisov" <dborisov@datakrat.ru>
To: "ALT Linux sysadmin discuss" <sysadmins@lists.altlinux.org>
Sent: Monday, April 09, 2007 11:37 AM
Subject: Re: [Sysadmins]Политика информационной безопастности на предприятии
> VPN-сервер - POPTOP, документация на оффсайте как интегрировать в
> существующую сеть windows присутствует. Единственная проблема может
> возникнуть с Самбой, но тут попытаемся помочь:)
>
> Здравствуйте
>
> Вы писали 9 апреля 2007 г., 13:25:50:
>
>> Тема очень актуальна!!
>> Поскольку у меня обратная ситуация. У нас в компании главбух и
>> генеральный
>> хочет
>> удаленно работать с корпоративной сетью.
>> Поэтому хотелось бы услышать коментарии на тему как правильно это
>> организовать.
>> Сам планирую VPN на LINUX и в него затунелить Цитрих Метафрейм.
>> А приложения уже через Цитрих раздовать.
>
>> ----- Original Message -----
>> From: "Денис Смирнов" <mithraen@altlinux.ru>
>> To: "ALT Linux sysadmin discuss" <sysadmins@lists.altlinux.org>
>> Sent: Monday, April 09, 2007 12:05 AM
>> Subject: Re: [Sysadmins]Политика информационной безопастности на
>> предприятии
>
>
>>> _______________________________________________
>>> Sysadmins mailing list
>>> Sysadmins@lists.altlinux.org
>>> https://lists.altlinux.org/mailman/listinfo/sysadmins
>>>
>
>> _______________________________________________
>> Sysadmins mailing list
>> Sysadmins@lists.altlinux.org
>> https://lists.altlinux.org/mailman/listinfo/sysadmins
>
> --
> С уважением,
> Дмитрий Борисов mailto:dborisov@datakrat.ru
>
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins
>
On Mon, 9 Apr 2007 11:25:50 +0400
Дорогов Николай(computer-service) wrote:
> Сам планирую VPN на LINUX и в него затунелить Цитрих Метафрейм.
> А приложения уже через Цитрих раздовать.
Что значит "раздавать". На слабых каналах до появления оптики мы
так и работали, добросовестно докупая лицензии. Гениальность
этого решения в том, что приложения крутятся на центральном
ресурсе, а удалённый пользователь получает на свой компьютер
только изображение экрана. Трафик минимальный.
--
С уважением,
С.С.Скулаченко
она наружу не выбрасывется, испульзуется только для аутенификации пользователей используя доменные учетные записи, наружу светит только 1723 порт, хотя если будут подключатся только 2 пользователся, то можно самбу не использовать/не настраивать...остановиться на chap-авторизации Здравствуйте Вы писали 9 апреля 2007 г., 13:41:27: > Я думаю что Самбу, все же не стоит выкидывать наружу, по моему > непросвещенному мнению > кривоватая она и дырявая. > ----- Original Message ----- > From: "Dmitriy.Borisov" <dborisov@datakrat.ru> > To: "ALT Linux sysadmin discuss" <sysadmins@lists.altlinux.org> > Sent: Monday, April 09, 2007 11:37 AM > Subject: Re: [Sysadmins]Политика информационной безопастности на предприятии >> VPN-сервер - POPTOP, документация на оффсайте как интегрировать в >> существующую сеть windows присутствует. Единственная проблема может >> возникнуть с Самбой, но тут попытаемся помочь:) >> >> Здравствуйте >> >> Вы писали 9 апреля 2007 г., 13:25:50: >> >>> Тема очень актуальна!! >>> Поскольку у меня обратная ситуация. У нас в компании главбух и >>> генеральный >>> хочет >>> удаленно работать с корпоративной сетью. >>> Поэтому хотелось бы услышать коментарии на тему как правильно это >>> организовать. >>> Сам планирую VPN на LINUX и в него затунелить Цитрих Метафрейм. >>> А приложения уже через Цитрих раздовать. >> >>> ----- Original Message ----- >>> From: "Денис Смирнов" <mithraen@altlinux.ru> >>> To: "ALT Linux sysadmin discuss" <sysadmins@lists.altlinux.org> >>> Sent: Monday, April 09, 2007 12:05 AM >>> Subject: Re: [Sysadmins]Политика информационной безопастности на >>> предприятии >> >> >>>> _______________________________________________ >>>> Sysadmins mailing list >>>> Sysadmins@lists.altlinux.org >>>> https://lists.altlinux.org/mailman/listinfo/sysadmins >>>> >> >>> _______________________________________________ >>> Sysadmins mailing list >>> Sysadmins@lists.altlinux.org >>> https://lists.altlinux.org/mailman/listinfo/sysadmins >> >> -- >> С уважением, >> Дмитрий Борисов mailto:dborisov@datakrat.ru >> >> _______________________________________________ >> Sysadmins mailing list >> Sysadmins@lists.altlinux.org >> https://lists.altlinux.org/mailman/listinfo/sysadmins >> > _______________________________________________ > Sysadmins mailing list > Sysadmins@lists.altlinux.org > https://lists.altlinux.org/mailman/listinfo/sysadmins -- С уважением, Дмитрий Борисов mailto:dborisov@datakrat.ru
[-- Attachment #1: Type: text/plain, Size: 3304 bytes --] On Mon, Apr 09, 2007 at 11:16:19AM +0400, Sergey S. Skulachenko wrote: >> "попасть в корпоративную сеть" понятие растяжимое. SSS> Нет, очень конкретное. Это значит получить те же права, что имеет SSS> собственная рабочая станция в корпоративной сети. Уровень SSS> допуска в зависимости от собственной роли может быть очень не SSS> маленьким. Дыра явная. Это не является "попасть в корпоративную сеть". Для "попасть в корпоративную сеть" достаточно если я могу удаленно получить доступ хотя бы к одному единственному внутреннему ресурсу. Так что флейм у тебя начинается видать из-за того что ты подразумеваешь всего лишь один вариант трактовки термина, который гораздо более многозначен. SSS> Если настаивать "мне так удобно", то выйдя утром на работу, SSS> можно обнаружить, что пропуск уже погашен и офисная обувь вместе SSS> с чайной кружкой уже не доступны. Иными словами, что-либо SSS> согласовать со службой (экономической) безопасности уже SSS> невозможно. А в её составе кроме аналитиков есть ещё SSS> подразделение собственной безопасности. С ними вообще не резон SSS> что-либо обсуждать, так как ребята там не приучены повторять SSS> дважды, и вид имеют крайне конкретный. Никакой растяжимости, SSS> уверяю Вас. Зависит от компании, уверяю. Вон я смотрю в ALT хренова туча народу имеет доступ ко внутренней сети. Кажется даже я имею, по крайней мере к одной машине. Боюсь что человека, который попытается это дело запретить просто аккуратно вынесут за руки/ноги из офиса и порекомендуют до протрезвления в нем не появляться :) Видел бы ты инфраструктуру безопасности у меня в компании. Пришлось бы валерьянку литрами пить. В ней нарушены все правила которые я только знаю, думаю те что не знаю тоже нарушены. Но в моей ситуации она себя оправдывает, и при подсчете рисков я решил что это разумнее. SSS> Т.е. я с Вами во всём согласен с небольшой поправкой: директор SSS> ДИТа устанавливает правила в пределах своей компетенции. А вот с SSS> другими директорами он ничего не согласовывает. Они для него SSS> остаются простыми пользователями, привыкшими подчиняться. SSS> Ничего не согласовывает и со службой безопасности. Он SSS> _уведомляет_ её о правилах а также о ролях каждого из SSS> пользователей, а СЭЗ принимает эту информацию к действию. Опять же зависит от. Насколько я вижу многие грамотные IT-специалисты нихрена не смыслят в безопасности, и не имеют достаточный уровень врожденной паранои. Поэтому хотя и вопрос где в корпоративной иерархии находится таки служба IT-безопасности, и кому она подчинена, но по крайней мере она не дрлжна быть в прямом подчинении у IT'шников. Мало того, в крупной не IT'шной компании именно безопасники и дложны решать большинство вопросов. А там где это не так мы получаем истории как у американцев, чем авианосец хрен знает сколько болтался неуправляемым из-за подвисшей винды. Потому как не было человека своей башкой отвечающего за то что "все должно быть надежно", и при этом имеющий полномочия сам решать какое ПО будет закупаться и использоваться. -- С уважением, Денис http://freesource.info ---------------------------------------------------------------------------- Это похоже на ошибку, чреватую большими неприятностями. -- ldv in sisyphus@ [-- Attachment #2: Digital signature --] [-- Type: application/pgp-signature, Size: 189 bytes --]
[-- Attachment #1: Type: text/plain, Size: 752 bytes --] On Mon, Apr 09, 2007 at 11:25:50AM +0400, Дорогов Николай(computer-service) wrote: ДНcs> Сам планирую VPN на LINUX и в него затунелить Цитрих Метафрейм. ДНcs> А приложения уже через Цитрих раздовать. Только не забыть про то, что citrix позволяет еще локальные диски шарить, и прочей мутью страдать. Лучше бы как можно больше из этого функционала удавить. Еще лучше -- дать такой доступ к отдельной физической или виртуальной машине с ограниченным доступ в сетку. То есть чтобы работать они могли с неким минимумом информации. -- С уважением, Денис http://freesource.info ---------------------------------------------------------------------------- В CC у ошибки какой-то UNKNOWN. Это он во всем виноват :-) -- zerg in #2674 [-- Attachment #2: Digital signature --] [-- Type: application/pgp-signature, Size: 189 bytes --]
On Tue, 10 Apr 2007 06:16:10 +0400
Денис Смирнов wrote:
> Так что флейм у тебя начинается
Мне этого достаточно. Продолжай беседовать сам с собой.
--
С уважением,
С.С.Скулаченко
А чем сейчас модно смотреть загрузку сетевого интерфейса из консоли? всякие iptarf/trafshow не особо опнимают имена типа pnznet -- np: silence
Здравствуйте! Tue, Apr 10, 2007 at 09:43:19PM +0400, stalker wrote: > А чем сейчас модно смотреть загрузку сетевого интерфейса из консоли? > всякие iptarf/trafshow не особо опнимают имена типа pnznet > -- iftop? > np: silence > _______________________________________________ > Sysadmins mailing list > Sysadmins@lists.altlinux.org > https://lists.altlinux.org/mailman/listinfo/sysadmins -- WBR Vladislav Bondarenko VB79-RIPN VB79-MNT-RIPN
Всем доброго дня! Что-то читал, но за ненадобностью забыл... Как у нас правильно организовать ответ сервиса по тому же интерфейсу, с которого пришел запрос? -- С уважением, Евгений Остапец uin: 23747217 jid: eugene_ostapets@jabber.ru
Вадим Илларионов wrote:
> 1. s/проблемма/проблема/
> 2. тема для samba@
По п.2 согласен лишь частично :)
IMHO, это не проблема samba вообще, рыть нужно недра реестра клиентской
машины. Было такое очень давно, рецепт утерян, но что нужно мучать
клиентскую ОС - 100%.
Если не изменяет склероз, то "Описание сервера2" и надо искать в реестре
болеющей системы.
--
// AB1002-UANIC
Vladislav Bondarenko пишет:
>> А чем сейчас модно смотреть загрузку сетевого интерфейса из консоли?
>> всякие iptarf/trafshow не особо опнимают имена типа pnznet
>> --
> iftop?
а ещё что-то есть?
Eugene Ostapets пишет: > Всем доброго дня! > > Что-то читал, но за ненадобностью забыл... > Как у нас правильно организовать ответ сервиса по тому же интерфейсу, > с которого пришел запрос? > Сервис - это уровень приложения, а iptables - это сетевой (за исключением модулей conntract). Если у вас маршруты не "симметричные" в разных направлениях, тогда надо чтобы сервис сам рулил отправкой ответов по соотв интерфейсам. Если кто-то расскажет об других вариантах - с удовольствием просвещусь. :) -- С уважением, Хайруллин Марат. http://xmm.moikrug.ru/
11.04.07, Marat Khayrullin<xmm rambler.ru> написал(а): > Eugene Ostapets пишет: > > Всем доброго дня! > > > > Что-то читал, но за ненадобностью забыл... > > Как у нас правильно организовать ответ сервиса по тому же интерфейсу, > > с которого пришел запрос? > > > > Сервис - это уровень приложения, а iptables - это сетевой (за > исключением модулей conntract). Приложение без сетевого уровня ничто:) > Если у вас маршруты не "симметричные" в разных направлениях, тогда надо > чтобы сервис сам рулил отправкой ответов по соотв интерфейсам. Любое приложение так и делает, но потом в дело вступает сетевой уровень и отправляет пакет по правилам маршрутизации... > Если кто-то расскажет об других вариантах - с удовольствием просвещусь. :) Помню что делалось это через несколько таблиц маршрутизации, но не могу найти внятную статью именно по решению данной проблемы с адресом человека, которого можно будет подоставать глупыми вопросами:) -- С уважением, Евгений Остапец uin: 23747217 jid: eugene_ostapets@jabber.ru
Wednesday 11 April 2007 11:33:42 Eugene Ostapets написав:
> Помню что делалось это через несколько таблиц
> маршрутизации, но не могу найти внятную статью именно по
> решению данной проблемы
Руками делается примерно так:
echo "1 prov1" >> /etc/iproute2/rt_tables
echo "2 prov2" >> /etc/iproute2/rt_tables
ip rule add from prov1_ip_pool table prov1
ip rule add from prov2_ip_pool table prov2
ip route add 0/0 via prov1_router table prov1
ip route add 0/0 via prov2_router table prov2
ip route flush cache
где
provN_ip_pool - маска ip адресов которые вам выделил
соответствующий провайдер,
provN_router - адрес маршрутизатора соответствующего
провайдера
Как это сделать в етцнет я не знаю - не пробывал
--
С уважением,
Сергей Полковников
Eugene Ostapets пишет: > Любое приложение так и делает, но потом в дело вступает сетевой > уровень и отправляет пакет по правилам маршрутизации... > >> Если кто-то расскажет об других вариантах - с удовольствием просвещусь. :) > Помню что делалось это через несколько таблиц маршрутизации, но не > ... В ответе сервиса содержится только адрес получателя (клиента), но нет информации с какого интерфейса пришел запрос. Так что все ухищирения с несколькоми таблицами поставленный вопрос не решат. -- С уважением, Хайруллин Марат. http://xmm.moikrug.ru/
On 2007-04-11 10:30:03 +0300, Eugene Ostapets wrote: EO> Всем доброго дня! EO> Что-то читал, но за ненадобностью забыл... EO> Как у нас правильно организовать ответ сервиса по тому же интерфейсу, EO> с которого пришел запрос? У нас - имеется в виду сейчас и на etcnet? Про последний не скажу, а на 2.4 у меня до сих пор скрипт работает для 3 провайдеров. -- Regards, Alexander
2007/4/11, Serge Polkovnikov <serge ukr-fin.com.ua>: > Wednesday 11 April 2007 11:33:42 Eugene Ostapets написав: > > Помню что делалось это через несколько таблиц > > маршрутизации, но не могу найти внятную статью именно по > > решению данной проблемы > > Руками делается примерно так: > echo "1 prov1" >> /etc/iproute2/rt_tables > echo "2 prov2" >> /etc/iproute2/rt_tables > > > ip rule add from prov1_ip_pool table prov1 > ip rule add from prov2_ip_pool table prov2 > > ip route add 0/0 via prov1_router table prov1 > ip route add 0/0 via prov2_router table prov2 > > ip route flush cache > > где > provN_ip_pool - маска ip адресов которые вам выделил > соответствующий провайдер, > provN_router - адрес маршрутизатора соответствующего > провайдера Ага:) > > Как это сделать в етцнет я не знаю - не пробывал Ну это я уже сделаю как-нибудь:) -- С уважением, Евгений Остапец uin: 23747217 jid: eugene_ostapets@jabber.ru
11.04.07, Alexander Volkov<alt vladregion.ru> написал(а): > On 2007-04-11 10:30:03 +0300, Eugene Ostapets wrote: > EO> Всем доброго дня! > > EO> Что-то читал, но за ненадобностью забыл... > EO> Как у нас правильно организовать ответ сервиса по тому же интерфейсу, > EO> с которого пришел запрос? > У нас - имеется в виду сейчас и на etcnet? Не обязательно, с etcnet я уже как-нибудь сам разберусь:) > Про последний не скажу, а на 2.4 у меня до сих пор скрипт работает для 3 > провайдеров. Можно на него взглянуть? -- С уважением, Евгений Остапец uin: 23747217 jid: eugene_ostapets@jabber.ru
On 2007-04-11 13:07:36 +0300, Eugene Ostapets wrote: EO> 11.04.07, Alexander Volkov<alt vladregion.ru> написал(а): EO> > On 2007-04-11 10:30:03 +0300, Eugene Ostapets wrote: EO> > EO> Всем доброго дня! EO> > EO> > EO> Что-то читал, но за ненадобностью забыл... EO> > EO> Как у нас правильно организовать ответ сервиса по тому же интерфейсу, EO> > EO> с которого пришел запрос? EO> > У нас - имеется в виду сейчас и на etcnet? EO> Не обязательно, с etcnet я уже как-нибудь сам разберусь:) EO> > Про последний не скажу, а на 2.4 у меня до сих пор скрипт работает для 3 EO> > провайдеров. EO> Можно на него взглянуть? зАпросто. Это rc.local. ip кое-как поменял P1="8.13.8.118" P2="8.49.89.97" P3="8.5.199.1" P0_NET="192.168.2.0/25" P03_NET="192.168.3.0/27" P1_NET="8.13.8.116/30" P2_NET="8.49.89.96/27" P3_NET="8.5.199.0/24" IF0="eth0" IF1="eth1" IF2="eth2" IF3="eth3" IP1="89.113.8.117" IP2="85.249.89.102" IP3="84.53.199.236" ip route add $P1_NET dev $IF1 src $IP1 table link1 ip route add default via $P1 table link1 ip route add $P2_NET dev $IF2 src $IP2 table link2 ip route add default via $P2 table link2 ip route add $P3_NET dev $IF3 src $IP3 table link3 ip route add default via $P3 table link3 ip route add 127.0.0.0/8 dev lo table link1 ip route add $P0_NET dev $IF0 table link1 ip route add $P03_NET dev $IF0 table link1 ip route add $P2_NET dev $IF2 table link1 ip route add $P3_NET dev $IF3 table link1 ip route add 127.0.0.0/8 dev lo table link2 ip route add $P0_NET dev $IF0 table link2 ip route add $P03_NET dev $IF0 table link2 ip route add $P1_NET dev $IF1 table link2 ip route add $P3_NET dev $IF3 table link2 ip route add 127.0.0.0/8 dev lo table link3 ip route add $P0_NET dev $IF0 table link3 ip route add $P03_NET dev $IF0 table link3 ip route add $P2_NET dev $IF2 table link3 ip route add $P1_NET dev $IF1 table link3 ip route add default via $P1 ip rule add from $IP1 table link1 ip rule add from $IP2 table link2 ip rule add from $IP3 table link3 -- Regards, Alexander
На календаре было: Среда, 11 Апрель 2007 года, Eugene Ostapets писал(а) в сообщении: EO == Eugene Ostapets EO> > Как это сделать в етцнет я не знаю - не пробывал EO> Ну это я уже сделаю как-нибудь:) Не сочти за труд, поделись потом... -- Best regards, Dmitriy L. Kruglikov .--. Dmitriy.Kruglikov_at_gmail_dot_com |@_@ | DKR6-RIPE |!_/ | XMPP:dkr6@jabber.ru // \ \ (| | ) /'\_ _/`\ Powered by Linux \___)=(___/ -- Мысль -- Волшебная мама Аладдина исполняет любые 3 желания
On 2007-04-11 13:15:54 +0300, Dmitriy L. Kruglikov wrote: LK> Не сочти за труд, поделись потом... потОм :) -- Regards, Alexander
Anton Gorlov пишет: > А чем сейчас модно смотреть загрузку сетевого интерфейса из консоли? > всякие iptarf/trafshow не особо опнимают имена типа pnznet vnStat -- про его адекватность по отношению к pnznet не знаю, но относится к network traffic monitor. http://humdi.net/vnstat/ -- Anton Kvashin
Alexander Volkov пишет: > On 2007-04-11 13:07:36 +0300, Eugene Ostapets wrote: > EO> 11.04.07, Alexander Volkov<alt vladregion.ru> написал(а): > EO> > On 2007-04-11 10:30:03 +0300, Eugene Ostapets wrote: > EO> > EO> Всем доброго дня! > EO> > > EO> > EO> Что-то читал, но за ненадобностью забыл... > EO> > EO> Как у нас правильно организовать ответ сервиса по тому же интерфейсу, > EO> > EO> с которого пришел запрос? > EO> > У нас - имеется в виду сейчас и на etcnet? > EO> Не обязательно, с etcnet я уже как-нибудь сам разберусь:) > EO> > Про последний не скажу, а на 2.4 у меня до сих пор скрипт работает для 3 > EO> > провайдеров. > EO> Можно на него взглянуть? > зАпросто. Это rc.local. ip кое-как поменял > > P1="8.13.8.118" > P2="8.49.89.97" > P3="8.5.199.1" > P0_NET="192.168.2.0/25" > P03_NET="192.168.3.0/27" > P1_NET="8.13.8.116/30" > P2_NET="8.49.89.96/27" > P3_NET="8.5.199.0/24" > IF0="eth0" > IF1="eth1" > IF2="eth2" > IF3="eth3" > IP1="89.113.8.117" > IP2="85.249.89.102" > IP3="84.53.199.236" > > ip route add $P1_NET dev $IF1 src $IP1 table link1 > ip route add default via $P1 table link1 > ip route add $P2_NET dev $IF2 src $IP2 table link2 > ip route add default via $P2 table link2 > ip route add $P3_NET dev $IF3 src $IP3 table link3 > ip route add default via $P3 table link3 > ip route add 127.0.0.0/8 dev lo table link1 > ip route add $P0_NET dev $IF0 table link1 > ip route add $P03_NET dev $IF0 table link1 > ip route add $P2_NET dev $IF2 table link1 > ip route add $P3_NET dev $IF3 table link1 > ip route add 127.0.0.0/8 dev lo table link2 > ip route add $P0_NET dev $IF0 table link2 > ip route add $P03_NET dev $IF0 table link2 > ip route add $P1_NET dev $IF1 table link2 > ip route add $P3_NET dev $IF3 table link2 > ip route add 127.0.0.0/8 dev lo table link3 > ip route add $P0_NET dev $IF0 table link3 > ip route add $P03_NET dev $IF0 table link3 > ip route add $P2_NET dev $IF2 table link3 > ip route add $P1_NET dev $IF1 table link3 > ip route add default via $P1 > ip rule add from $IP1 table link1 > ip rule add from $IP2 table link2 > ip rule add from $IP3 table link3 > Интересно, это сработает даже в случае, когда запрос пришел от клиента из инета (не из $Pn_NET), а сервис слушает 0.0.0.0, а не каждый интерфейс (как bind). accept наверняка привяжет сокет к нужному интерфесу, а там сработает своя таблица. Хотя у себя на шлюзах я не запускаю сервисы, кроме bind - эта штука может когда-нибудь пригодиться. Всегда есть чему поучиться. :) -- С уважением, Хайруллин Марат. http://xmm.moikrug.ru/
"Dmitriy L. Kruglikov" пишет: > EO> > Как это сделать в етцнет я не знаю - не пробывал > EO> Ну это я уже сделаю как-нибудь:) > Не сочти за труд, поделись потом... А чем там делиться то? Примерно так: > echo "1 prov1" >> /etc/iproute2/rt_tables > echo "2 prov2" >> /etc/iproute2/rt_tables сделать ручками. > add from prov1_ip_pool table prov1 и > add from prov2_ip_pool table prov2 записать в ipv4rule для соответствующего интерфейса. > 0/0 via prov1_router table prov1 и > 0/0 via prov2_router table prov2 записать в ipv4route также для соответствующего интерфейса. Вроде всё. -- С уважением, Терешков Евгений.
Добрый день. Могу поделиться своим опытом в организации работы и безопасности в частности в небольшой организации. Правда тут есть некоторые немаловажные подробности, которые невозможно реализовать чисто со стороны IT, но может быть послушать будет интересно, а может быть кто-нибудь внесет и какие-нибудь дельные усовершенствования. В компании есть три территориально разнесенных офиса: Офис 1. Здесь работает отдел продаж, стоит выставочный стенд с товарами, которые продают, сюда приходят покупатели, здесь сидят менеджеры занимающиеся непосредственно общением с клиентами. В этом офисе трафик не считают, никаких специальных ограничений менеджерам на скачивание из интернета не вводится. Все менеджеры работают за проценты, соотв. они могут работать хоть один день в неделю - если они при этом получат достаточное количество заказов никого не будет волновать что именно они делают. С другой стороны, они понимают все же, что если они убьют свой комп - работать они не смогут и возможно сорвется хороший клиент, так что специально они и не гадят. Здесь действует правило: любой винчестер может быть переформатирован в любое время. Все работают с централизованной базой. Заказы, с которыми работа не ведется дольше месяца, отправляются в архив, куда менеджеры доступ не имеют. Удалять информацию по заказу менеджеры не могут. Только добавлять новое (либо с нуля добавлять новый заказ, либо на основании уже существующего заказа - это нужно если они хотят что-то подправить). Оплаченные заказы соответствующим образом помечаются, менеджеры выписывают на них первичные бух. документы (собственно, документы сами выписываются на основании подготовленного заказа) Типовые договора менеджеры заключают самостоятельно по заранее утвержденной схеме. Если клиент придумал какой-то новый пункт договора, который еще не обговаривали, кусок договора отправляется по почте или по телефону юристам, после чего согласовывается и в дальнейшем вносится в типовую схему. Офис 2. Бухгалтерия, юр.отдел. Работают с той же базой данных что и менеджеры. С их рабочих мест доступ к базе осуществляется через интернет по шифрованному протоколу. На компьютерах стоит почта, доступ по IMAP4/SMTP разрешен только до сервера. Письма с аттачами идут в /dev/null. Никакого интернета на их компьютерах нет. В интернет в случае надобности ходят с консоли их сервера под гостевым паролем, где крутятся иксы и firefox. Доступа с сервера на их компьютеры для гостя нет. При необходимости пересылки текстовой информации, они могут послать себе письмо с этого компьютера на свою рабочую машину. Офис 3. Разработчики: программисты, дизайнеры, инженеры; гарантийный сервис-центр. Хитрая система: локальные компьютеры доступа к интернету напрямую не имеют. Если им нужен интернет - они включают на своем компе X-сервер, после чего ходят в интернет с удаленных терминалов с сервера. (Криво сказал, но, надеюсь, суть ясна) При необходимости передать что-либо на свою рабочую машину - они копируют данные в определенную папку, которая в свою очередь видна с их компов через FTP. Папка по FTP доступна только для чтения, т.е. "вынести" информацию из офиса через интернет они не могут - только получить. Почему именно FTP, а не самба - не помню уже... что-то с правами доступа там не получалось... Если консоль не нужна одновременно нескольким людям, кто-то один может работать на локальной консоли сервера. Все же иксы по сети виндошные - это не так удобно как настоящая консоль. В общем, кто как. Есть люди которые любят свою мышу, свою клаву, свой стул и свой стол и никуда переться не хотят чтобы почту проверить. Есть некоторые тонкости организации безопасности канала по которому работают иксы, пришлось немного KDM подпатчить. Если интересуют подробности - расскажу. На сервере имеется папка для бекапа, куда ежедневно все сотрудники уходя с рабочего места обязаны клать исходный код проекта, над которым они сегодня работали. В 5 утра включается скрипт, который проверяет, если в папке должно лежать и ничего не лежит - идет пинок с дальнейшими административными взысканиями в случае повторения в размере оплаты одного рабочего дня. Доступ к бекапу за предыдущие дни рядовые сотрудники имеют только на чтение, таким образом испортить они ничего не могут. Бекапы выборочно проверяются на предмет, не лежит ли в них мусор вместо работы. В случае выявления подобных проделок - человек увольняется в 24 часа без зарплаты (пока что только один раз было такое). Доступ к чужим бекапам имеет только начальство. Если нужно передать что-либо с компьютера разработчика наружу (например, схемы или готовые программы) - это делается через начальство. Если несколько человек ведут работу над одним проектом и им необходимо регулярно обмениваться данными - они могут делать это, опять же без возможности выноса данных за пределы рабочей группы. USB-порты в компьютерах и их корпуса опечатаны. Никаких дисководов на них нет. Все флешки, диски и прочая фигня проносятся только через начальство. Во всех офисах ведется видеонаблюдение. Вот, вкратце... Кажется ничего не забыл. Comments please. -- С уважением, Nick Gavrikov
11.04.07, Nick Gavrikov написал(а):
> Могу поделиться своим опытом в организации работы и безопасности в
> частности в небольшой организации.
Ах да, вот еще что, забыл. Удаленная/домашняя работа для разработчиков
запрещена. Дома отдыхать нужно а не работать. Если дома человек
отдыхать не будет - он будет спать на рабочем месте, что совершенно
недопустимо.
Где и как работают менеджеры никого не колышит. Собственно, они
довольно часто ездят к заказчикам, на переговоры и т.д., по этому
контролировать их нахождение на рабочем месте глупо. Да и зарплата у
них по другому считается.
Программисты и инженеры ездят к заказчикам только в исключительных
случаях. Это во-первых, слишком дорого, во-вторых, нечего заказчикам
позволять засирать им мозги, как они обожают это делать. Все общение
менеджеров и заказчиков с разработчиками, если оно необходимо, ведется
в по электронной почте в режиме off-line.
ICQ у разработчиков крайне не приветствуется, поскольку очень
отвлекает от работы.
--
С уважением,
Nick Gavrikov
Anton Gorlov пишет: > Vladislav Bondarenko пишет: > >>> А чем сейчас модно смотреть загрузку сетевого интерфейса из консоли? >>> всякие iptarf/trafshow не особо опнимают имена типа pnznet >>> -- >> iftop? > Еще есть dig (host) и whois, чтобы посмотреть, кому принадлежит IP и решить, блокировать его, или нет. Для того, чтобы правильно блокировать, существует взаимодействие с провайдером(ами), чтобы трафик блокировался на входе в AS и не влиял на работу серверов. Реальной 100%-й защиты от DDoS не существует (пока живем на IPv4), и каждый борется, как может. -- WBR, Sergei Boudnik http://www.boudnik.kiev.ua -------------------------- Tel: +38050 3584082 ICQ UIN: 56809672 SSB-RIPE SSB1-UANIC ========================== Trap for spam & virii: trap@wildlist.org.ua
[-- Attachment #1: Type: text/plain, Size: 6754 bytes --] On Wed, Apr 11, 2007 at 05:48:19PM +0400, Nick Gavrikov wrote: NG> Здесь действует правило: любой винчестер может быть переформатирован NG> в любое время. Все работают с централизованной базой. Я к этому ещё добавлял все-таки и наличие файлсервера, на котором могут лежать какие-то документы, и который тоже backup'иться. "My Documents" указывала на сетевой диск, так что все было в этом смысле нормально. Но это нужно только в том случае, если не вся работа менеджеров может быть четко сформулирована в рамках этой базы (например если они изобретают какой-нибудь способ раскрутки, связываются со сторонними компаниями предоставляющими клиентов, или ещё что хитрое и не предусмотреное при создании базы творят). Единственное что -- совсем полезно таки сделать образы диска, и реально раз в неделю-две разворачивать систему с образа. Чтобы не повадно было. NG> Заказы, с NG> которыми работа не ведется дольше месяца, отправляются в архив, куда NG> менеджеры доступ не имеют. Удалять информацию по заказу менеджеры не NG> могут. Только добавлять новое (либо с нуля добавлять новый заказ, либо NG> на основании уже существующего заказа - это нужно если они хотят NG> что-то подправить). Кстати это автоматом делается? Жутко интересно попытать тебя на предмет какая вообще информация о заказе хранится. У меня сейчас заказ == данные требуемые для подготовки первички + ссылка на заказчика, в инфе о котором все реквизиты, всевозможные контакты и несколько полей для комментариев. NG> Оплаченные заказы соответствующим образом помечаются, менеджеры NG> выписывают на них первичные бух. документы (собственно, документы сами NG> выписываются на основании подготовленного заказа) NG> Типовые договора менеджеры заключают самостоятельно по заранее NG> утвержденной схеме. Если клиент придумал какой-то новый пункт NG> договора, который еще не обговаривали, кусок договора отправляется по NG> почте или по телефону юристам, после чего согласовывается и в NG> дальнейшем вносится в типовую схему. Договора ручками заполняются, или тоже по темплейтам? NG> Офис 2. Бухгалтерия, юр.отдел. NG> Работают с той же базой данных что и менеджеры. С их рабочих мест NG> доступ к базе осуществляется через интернет по шифрованному протоколу. NG> На компьютерах стоит почта, доступ по IMAP4/SMTP разрешен только до NG> сервера. Письма с аттачами идут в /dev/null. Никакого интернета на их NG> компьютерах нет. Кстати о базе -- они работают с тамошней базой, или ты не поленился сделать репликацию? NG> В интернет в случае надобности ходят с консоли их сервера под гостевым NG> паролем, где крутятся иксы и firefox. Доступа с сервера на их NG> компьютеры для гостя нет. При необходимости пересылки текстовой NG> информации, они могут послать себе письмо с этого компьютера на свою NG> рабочую машину. А в связи с чем не стал разрешать анлимный доступ к группе бухсайтов, вроде mosnalog.ru и прочих аналогичных? NG> Офис 3. Разработчики: программисты, дизайнеры, инженеры; гарантийный NG> сервис-центр. NG> Хитрая система: локальные компьютеры доступа к интернету напрямую не NG> имеют. Если им нужен интернет - они включают на своем компе X-сервер, NG> после чего ходят в интернет с удаленных терминалов с сервера. (Криво NG> сказал, но, надеюсь, суть ясна) При необходимости передать что-либо на NG> свою рабочую машину - они копируют данные в определенную папку, NG> которая в свою очередь видна с их компов через FTP. Бухам не стал такое делать, потому как "для них это слишком хайтек", или были ещё причины? NG> Если консоль не нужна одновременно нескольким людям, кто-то один может NG> работать на локальной консоли сервера. Все же иксы по сети виндошные - NG> это не так удобно как настоящая консоль. В общем, кто как. Есть люди NG> которые любят свою мышу, свою клаву, свой стул и свой стол и никуда NG> переться не хотят чтобы почту проверить. Кстати, а им почему не разрешили почту локально? Чтобы не придумали способов таки послать через эту почту файлик (ююками хотябы)? Хотя все это тоже не гарантировано. Если икссервер умеет copy&paste, если найдется более-менее квалифицированый товарищ который захочет вынести -- вынесет :( В SecretNet для этого мандатный контроль используют, который в том числе буфер тоже контролирует, и данные не позволит скопипастить из ценного файлика в какое-либо приложение, кроме имеющего право на работу с этой информацией. NG> Есть некоторые тонкости организации безопасности канала по которому NG> работают иксы, пришлось немного KDM подпатчить. Если интересуют NG> подробности - расскажу. Безусловно. Шлите патчи (c) :) NG> На сервере имеется папка для бекапа, куда ежедневно все сотрудники NG> уходя с рабочего места обязаны клать исходный код проекта, над которым NG> они сегодня работали. В 5 утра включается скрипт, который проверяет, NG> если в папке должно лежать и ничего не лежит - идет пинок с NG> дальнейшими административными взысканиями в случае повторения в NG> размере оплаты одного рабочего дня. Логично. А просто заставить их в добровольно принудительном порядке класть все рабочие файлы в те же MyDocuments, и автоматом бэкапить уже их? NG> Доступ к бекапу за предыдущие дни рядовые сотрудники имеют только на NG> чтение, таким образом испортить они ничего не могут. Бекапы выборочно NG> проверяются на предмет, не лежит ли в них мусор вместо работы. В NG> случае выявления подобных проделок - человек увольняется в 24 часа без NG> зарплаты (пока что только один раз было такое). Разумно. Естественно приемка работы происходит именно по содержимому бэкапа? NG> Доступ к чужим бекапам имеет только начальство. Если нужно передать NG> что-либо с компьютера разработчика наружу (например, схемы или готовые NG> программы) - это делается через начальство. Если несколько человек NG> ведут работу над одним проектом и им необходимо регулярно обмениваться NG> данными - они могут делать это, опять же без возможности выноса данных NG> за пределы рабочей группы. Каким образом их взаимодействие организовано? Шареные папки, или более по человечески? NG> USB-порты в компьютерах и их корпуса опечатаны. Никаких дисководов на NG> них нет. Все флешки, диски и прочая фигня проносятся только через NG> начальство. А куда суются разрешенные флешки если USB-порты опечатаны? NG> Во всех офисах ведется видеонаблюдение. NG> Вот, вкратце... Кажется ничего не забыл. Comments please. Параноя рулез. -- С уважением, Денис http://freesource.info ---------------------------------------------------------------------------- * ott хочет lisp machine * gvy hands emacs to ott <ott> gvy это не машинаа <gvy> ott, самосвал? ;-) <ott> gvy это тормоз [-- Attachment #2: Digital signature --] [-- Type: application/pgp-signature, Size: 189 bytes --]
[-- Attachment #1: Type: text/plain, Size: 375 bytes --] On Wed, Apr 11, 2007 at 05:48:19PM +0400, Nick Gavrikov wrote: > Добрый день. > > Могу поделиться своим опытом в организации работы и безопасности в Мда.. я думал у меня параноя... Ужос какой-то. -- С уважением, Алексей Морсов программист ЗАО "ИК "Риком-Траст" Jabber: samurai@www.fondmarket.ru www.ricom.ru www.fondmarket.ru NP: Music is over :( [-- Attachment #2: Digital signature --] [-- Type: application/pgp-signature, Size: 481 bytes --]
12.04.07, Alexey Morsov написал(а):
> > Могу поделиться своим опытом в организации работы и безопасности в
>
> Мда.. я думал у меня параноя...
> Ужос какой-то.
До того как это все было введено, то что у меня творилось можно было
назвать одним словом: бардак. По мере роста штата сотрудников бардак
рос в экспоненциальной зависимости. В конце концов, после некоторых
инцидентов, все же потратили некоторые деньги/усилия чтобы сделать все
именно так.
Впрочем, система обусловлена конкретными гео-политическими
обстоятельствами, в частности наличием и расположением офисов. Так что
в другой ситуации вероятно придется вводить некоторые коррективы. Но в
любом случае, политика максимальной изоляции сотрудников друг от друга
и от интернета вцелом, я считаю, просто обязана быть.
--
С уважением,
Nick Gavrikov
[-- Attachment #1: Type: text/plain, Size: 478 bytes --] On Thu, Apr 12, 2007 at 11:17:26AM +0400, Nick Gavrikov wrote: > в другой ситуации вероятно придется вводить некоторые коррективы. Но в > любом случае, политика максимальной изоляции сотрудников друг от друга > и от интернета вцелом, я считаю, просто обязана быть. depends. Причем очень сильно depends. -- С уважением, Алексей Морсов программист ЗАО "ИК "Риком-Траст" Jabber: samurai@www.fondmarket.ru www.ricom.ru www.fondmarket.ru NP: Music is over :( [-- Attachment #2: Digital signature --] [-- Type: application/pgp-signature, Size: 481 bytes --]
[-- Attachment #1: Type: text/plain, Size: 463 bytes --] On Wed, Apr 11, 2007 at 05:48:19PM +0400, Nick Gavrikov wrote: > проверяются на предмет, не лежит ли в них мусор вместо работы. В > случае выявления подобных проделок - человек увольняется в 24 часа без > зарплаты (пока что только один раз было такое). А вот это еще кстати и не законно. -- С уважением, Алексей Морсов программист ЗАО "ИК "Риком-Траст" Jabber: samurai@www.fondmarket.ru www.ricom.ru www.fondmarket.ru NP: Music is over :( [-- Attachment #2: Digital signature --] [-- Type: application/pgp-signature, Size: 481 bytes --]
Alexey Morsov пишет:
> On Wed, Apr 11, 2007 at 05:48:19PM +0400, Nick Gavrikov wrote:
>> проверяются на предмет, не лежит ли в них мусор вместо работы. В
>> случае выявления подобных проделок - человек увольняется в 24 часа без
>> зарплаты (пока что только один раз было такое).
> А вот это еще кстати и не законно.
>
Мне кажется порой, что в данной ветке идёт обсуждение политики безопасности ну как минимум какое-то
супер-пупер секретное КБ работающее на оборонку...
ну или центра запуска атомных ракет...
Иначе такой жесткач выглядит как минимум странно.
Знаю, что в некоторых банках (надо сказать ведущих банках) всё намного проще.
И ведь ничего. Не разорились ещё :)
--
Alexey Sidorov
mailto:alex@reutman.ru
JID: alex@reutman.ru
ICQ: 5052225
12.04.07, Денис Смирнов написал(а): > NG> Здесь действует правило: любой винчестер может быть переформатирован > NG> в любое время. Все работают с централизованной базой. > > Я к этому ещё добавлял все-таки и наличие файлсервера, на котором могут > лежать какие-то документы, и который тоже backup'иться. "My Documents" > указывала на сетевой диск, так что все было в этом смысле нормально. Но > это нужно только в том случае, если не вся работа менеджеров может быть > четко сформулирована в рамках этой базы (например если они изобретают > какой-нибудь способ раскрутки, связываются со сторонними компаниями > предоставляющими клиентов, или ещё что хитрое и не предусмотреное при > создании базы творят). К сожалению, рядовые менеджеры ничего этого делать не могут :-( Если у них есть какие-то мысли, они обмениваются ими по почте (лежит на сервере в IMAP). Так что мы пришли к мысли, что нефиг забивать им голову всякой фигней. А если есть возможность сохранять MyDocuments - сразу начинается левак, кривые сметы, составленные не через общую базу а в экселе и т.д. В общем, лучше не искушать людей :-) > Единственное что -- совсем полезно таки сделать образы диска, и реально > раз в неделю-две разворачивать систему с образа. Чтобы не повадно было. Ну вот это не знаю... Все-таки они как минимум винду подстраивают под себя. Ставят размер шрифта, картинку на десктопе... и т.д. А морочиться с контроллером домена и общими настройками ради такого дела не хочется. > NG> Заказы, с > NG> которыми работа не ведется дольше месяца, отправляются в архив, куда > NG> менеджеры доступ не имеют. > Кстати это автоматом делается? Как как? По крону, разумеется :-) Если у заказчика ничего не менялось и не добавлялось в течении месяца - туды его, в качель. > Жутко интересно попытать тебя на предмет > какая вообще информация о заказе хранится. У меня сейчас заказ == данные > требуемые для подготовки первички + ссылка на заказчика, в инфе о котором > все реквизиты, всевозможные контакты и несколько полей для комментариев. Ну во-первых, реквизиты заказчика, контактные лица, далее составленные коммерческие предложения (на основании которых формируется первичка) и договора - в виде отдельных вордовских файлов. К сожалению, автоматизировать составление договора не представляется возможным, поскольку договор отсылается заказчику по почте, а он в свою очередь обязательно в нем что-нибудь поправит: запятую где-нибудь переставит на другое место и т.п. То есть исправления могут быть совсем незначительные, но раз уж он так хочет - пусть будет. По этому максимум что можно сделать - это сохранять все версии договора в виде вордовских файлов и внутрь их не лезть. Хорошо бы еще, конечно, сделать diff двух файлов, но это уже задача более сложного порядка :-) > NG> Офис 2. Бухгалтерия, юр.отдел. > > Кстати о базе -- они работают с тамошней базой, или ты не поленился > сделать репликацию? Поленился :-) К счастью, интернет работает достаточно стабильно, а трафик ни у менеджеров, ни у бухов никто не считает. > NG> В интернет в случае надобности ходят с консоли их сервера под гостевым > NG> паролем, где крутятся иксы и firefox. Доступа с сервера на их > NG> компьютеры для гостя нет. При необходимости пересылки текстовой > NG> информации, они могут послать себе письмо с этого компьютера на свою > NG> рабочую машину. > > А в связи с чем не стал разрешать анлимный доступ к группе бухсайтов, > вроде mosnalog.ru и прочих аналогичных? В связи с тем, что это им не нужно. Чтобы не задавали глупых вопросов "а почему mosnalog можно а xyz нельзя". Или "а почему я нажала на ссылку (банер) а она не работает". Помимо этого, точный список сайтов, к которым следует разрешить доступ, мне не известен. А еще, в бухгалтерии у нас работают люди... м.... старшего возраста, увидевшие компьютер не очень много лет назад. Со всеми вытекающими отсюда последствиями. Так получилось. > NG> Офис 3. Разработчики: программисты, дизайнеры, инженеры; гарантийный > NG> сервис-центр. > NG> Хитрая система: локальные компьютеры доступа к интернету напрямую не > NG> имеют. Если им нужен интернет - они включают на своем компе X-сервер, > NG> после чего ходят в интернет с удаленных терминалов с сервера. (Криво > NG> сказал, но, надеюсь, суть ясна) При необходимости передать что-либо на > NG> свою рабочую машину - они копируют данные в определенную папку, > NG> которая в свою очередь видна с их компов через FTP. > > Бухам не стал такое делать, потому как "для них это слишком хайтек", или > были ещё причины? Опять же, им это не нужно. Помимо этого, я не уверен, что наш главбух разберется в иксах, работающих под виндой, да еще и по сети со своими заморочками :-) А еще нефиг из интернета всякие проги устанавливать и вирусов таскать. Пусть на линухе попробуют :-) А то, блин, дали уже как-то в пенсионном фонде дискету с прогой зараженной. Хорошо что последний дисковод сломался года этак два назад :-) > NG> Если консоль не нужна одновременно нескольким людям, кто-то один может > NG> работать на локальной консоли сервера. Все же иксы по сети виндошные - > NG> это не так удобно как настоящая консоль. В общем, кто как. Есть люди > NG> которые любят свою мышу, свою клаву, свой стул и свой стол и никуда > NG> переться не хотят чтобы почту проверить. > > Кстати, а им почему не разрешили почту локально? Чтобы не придумали > способов таки послать через эту почту файлик (ююками хотябы)? Именно. Чтобы максимально усложнить жизнь желающим вынести что-либо за пределы офиса > Хотя все это > тоже не гарантировано. Если икссервер умеет copy&paste, если найдется > более-менее квалифицированый товарищ который захочет вынести -- вынесет :( Про эту дырку я знаю, как ее закрыть - хз. Поставил X-сервер, не умеющий copy&paste :-) > В SecretNet для этого мандатный контроль используют, который в том числе > буфер тоже контролирует, и данные не позволит скопипастить из ценного > файлика в какое-либо приложение, кроме имеющего право на работу с этой > информацией. Немного не понятно, он это делает на стороне x-server? Или на стороне работающих приложений? Если на стороне иксов - не годится, поскольку программистам необходим администраторский доступ для работы. Если на стороне приложений - а что мешает тем же сервером вбить содержимое клипбоарда как будто текст на клавиатуре набрали? Кстати, по-моему он так и делает. > NG> Есть некоторые тонкости организации безопасности канала по которому > NG> работают иксы, пришлось немного KDM подпатчить. Если интересуют > NG> подробности - расскажу. > > Безусловно. > Шлите патчи (c) :) В кратце - при логине юзверя поднимается правило файрвола, которое разрешает ему доступ, при выходе - правило опускается. Подробнее искать надо... > NG> На сервере имеется папка для бекапа, куда ежедневно все сотрудники > NG> уходя с рабочего места обязаны клать исходный код проекта, над которым > NG> они сегодня работали. > > Логично. А просто заставить их в добровольно принудительном порядке класть > все рабочие файлы в те же MyDocuments, и автоматом бэкапить уже их? Тогда они не смогут смотреть свой бекап по датам. Когда смотришь и видишь, что реально за последнюю неделю ты ничего полезного не сделал - очень стимулирует мыслительный процесс :-) > NG> Доступ к бекапу за предыдущие дни рядовые сотрудники имеют только на > NG> чтение, таким образом испортить они ничего не могут. Бекапы выборочно > NG> проверяются на предмет, не лежит ли в них мусор вместо работы. В > NG> случае выявления подобных проделок - человек увольняется в 24 часа без > NG> зарплаты (пока что только один раз было такое). > > Разумно. Естественно приемка работы происходит именно по содержимому > бэкапа? Само собой. > NG> Доступ к чужим бекапам имеет только начальство. Если нужно передать > NG> что-либо с компьютера разработчика наружу (например, схемы или готовые > NG> программы) - это делается через начальство. Если несколько человек > NG> ведут работу над одним проектом и им необходимо регулярно обмениваться > NG> данными - они могут делать это, опять же без возможности выноса данных > NG> за пределы рабочей группы. > > Каким образом их взаимодействие организовано? Шареные папки, или более по > человечески? Здесь я особо проблем безопасности не вижу - так что все делается через самбу. > NG> USB-порты в компьютерах и их корпуса опечатаны. Никаких дисководов на > NG> них нет. Все флешки, диски и прочая фигня проносятся только через > NG> начальство. > > А куда суются разрешенные флешки если USB-порты опечатаны? В мой личный комп :-) Сам понимаешь, флешка, попавшая в мой USB-разъем, будет как минимум скопирована ко мне на винчестер :-) Флешки объемом больше 1 гига не принимаются :-))) -- С уважением, Nick Gavrikov
12.04.07, Alexey Morsov написал(а):
> > В
> > случае выявления подобных проделок - человек увольняется в 24 часа без
> > зарплаты (пока что только один раз было такое).
> А вот это еще кстати и не законно.
Да, я догадываюсь. Вроде это как-то обошли путем составления
"правильного" трудового договора с работником. Но, поскольку я не
юрист, ничего тут прокомментировать не могу. Единственно, могу сказать
что уволили так человека только один раз (за бекап в виде
запароленного архива) и никаких судебных последствий этого действия не
было.
--
С уважением,
Nick Gavrikov
12.04.07, Alexey Sidorov написал(а):
> Мне кажется порой, что в данной ветке идёт обсуждение политики безопасности ну как минимум какое-то
> супер-пупер секретное КБ работающее на оборонку...
> ну или центра запуска атомных ракет...
> Иначе такой жесткач выглядит как минимум странно.
> Знаю, что в некоторых банках (надо сказать ведущих банках) всё намного проще.
> И ведь ничего. Не разорились ещё :)
Видите ли... Мое КБ работает не на оборонку, и я не ведущий банк... Но
моя фирма - это МОИ деньги. Не какого-то дяди, не государственные, не
оборонные - а МОИ ЛИЧНЫЕ. И я не намерен позволить кому бы то ни было
их у меня своровать.
У меня нет службы безопасности, которая сможет в случае чего эти
деньги выбить. И адвокатов у меня нет, которые будут потом судиться
годами. Я предпочитаю принять превентивные меры.
--
С уважением,
Nick Gavrikov
12.04.07, Alexey Morsov написал(а):
> > в другой ситуации вероятно придется вводить некоторые коррективы. Но в
> > любом случае, политика максимальной изоляции сотрудников друг от друга
> > и от интернета вцелом, я считаю, просто обязана быть.
> depends. Причем очень сильно depends.
Вы доверяете своим сотрудникам? Я лично - доверяю, но далеко не всем.
По пальцам пересчитать можно людей, со мной работающих, которым я
доверяю. И ни один из них не работает на должности рядового
сотрудника. Тех кому я доверяю, ограничивать, естественно,
бессмысленно. А вот всех остальных...
--
С уважением,
Nick Gavrikov
Sergei Boudnik пишет:
>>> iftop?
> Еще есть dig (host) и whois, чтобы посмотреть, кому принадлежит IP и
> решить, блокировать его, или нет.
> Для того, чтобы правильно блокировать, существует взаимодействие с
> провайдером(ами), чтобы трафик блокировался на входе в AS и не влиял на
> работу серверов.
> Реальной 100%-й защиты от DDoS не существует (пока живем на IPv4), и
> каждый борется, как может.
Мне не дял блкировки..мне именно загрузку канала смотреть надо...
[-- Attachment #1: Type: text/plain, Size: 1554 bytes --] On Thu, Apr 12, 2007 at 11:45:11AM +0400, Alexey Morsov wrote: >> проверяются на предмет, не лежит ли в них мусор вместо работы. В >> случае выявления подобных проделок - человек увольняется в 24 часа без >> зарплаты (пока что только один раз было такое). AM> А вот это еще кстати и не законно. Вообще есть замечательный способ сделать это законно. Подходишь к человеку и объясняешь, что его действия это по сути: 1. вредительство; 2. попытка обмана руководства; После чего можно согласиться забыть об этом инцеденте, и не рассказывать детали причин увольнения другим работодателям этого товарища, если он напишет заявление об увольнении и не будет мозолить глаза. Если человек будет выпендриваться, то он элементарным образом увольняется в 24 часа следующим законным способом: 1. ему выплачивается зарплата в том числе за следующие 2 недели как будто он работал; 2. его аккаунты аннулируются, включая аккаунты на его локальной машине; 3. он продолжает присутствовать в офисе (если он не выходит подряд 3 дня на работу, насколько я помню, в этом случае он увольняется мгновенно легко и непринужденно); Таким образом единственная проблема которую он создает -- то что он таки присутствует физически в офисе, и надо заплатить ему зарплату за 2 недели. Но человека после _таких_ действий подпускать к работе больше нельзя. -- С уважением, Денис http://freesource.info ---------------------------------------------------------------------------- Если программа полностью отлажена, ее нужно будет скорректировать. [-- Attachment #2: Digital signature --] [-- Type: application/pgp-signature, Size: 189 bytes --]
[-- Attachment #1: Type: text/plain, Size: 1598 bytes --] On Thu, Apr 12, 2007 at 11:55:54AM +0400, Alexey Sidorov wrote: AS> Знаю, что в некоторых банках (надо сказать ведущих банках) всё намного проще. AS> И ведь ничего. Не разорились ещё :) У банков, как это ни смешно, куда меньше информации (кроме данных клиентов) утечка которых фатальна для бизнеса. У любой девелоперской компании их куда больше. Это раз. Если сотрудник допустит утечку клиентских данных, ему: а) оторвет голову СБ; б) оторвет голову сам клиент (который может быть куда менее добрым, нежным и ласковым чем СБ, и в отличии от СБ запросто может прибегнуть к незаконным методам воздействия); в) он уже никогда и никуда не устроится работать по своей специальности; Самое смешное, что описаная Николаем структура безопасности является крайне дешевой в реализации. У меня есть подозрение что общее время на реализацию этой системы было пару дней если она была придумана сразу, и более если она строилась постепенно. Там самая сложная часть это несколько шелл-скриптиков :) Проблема у этой системы -- очень ограниченая масштабируемость. Потому как везде есть слишком высокий уровень доверия к начальству. Если бы я был инвестором а не руководителем, мне бы очень непонравилось то, что какой-нибудь техдир может спокойно спереть и унести все данные. Но в Linux без использованеи SELinux/RSBAC обеспечить тот уровень паранои что я желал бы видеть попросту невозможно. -- С уважением, Денис http://freesource.info ---------------------------------------------------------------------------- Повесьте что-нибудь на пакет zsh. -- ldv in sisyphus@ [-- Attachment #2: Digital signature --] [-- Type: application/pgp-signature, Size: 189 bytes --]
On Thu, 12 Apr 2007 11:55:54 +0400
Alexey Sidorov wrote:
> Знаю, что в некоторых банках (надо сказать ведущих банках) всё
> намного проще. И ведь ничего. Не разорились ещё :)
Всё впереди:-). Банк иногда приводился в качестве примера
потому, что это (как правило!) высоко организованное хозяйство,
минута простоя которого очень дорого стоит. И цифра, поверьте,
очень впечатляющая. Если это такой банк, в котором ежедневно
открывается 2000 новых счетов. Если там всего десяток клиентов
(домашний банк), то всё выглядит несколько иначе. Мой пример
показывает, что в таком IT-хозяйстве не может быть разгильдяев
и, ну, очень талатливых гастролёров, а сеть должна быть
многократно резервирована. Например, за счёт многосвязности,
когда к каждому узлу подходит более одного маршрута. За счёт
наличия у аппаратуры холодного и горячего резерва. Наконец, за
счёт продуманных мер безопасности, когда даже ведущим
администраторам запрещается удалённый доступ в сеть, а проблема
её диагностики решается наличием ночной дежурной смены. Для двух
территорий, где находятся централизованные ресурсы, всего-то 12
человек нужно. И будьте покойны, группу быстрого реагирования
поднимут ночью в лучшем виде. А там каждый сам решает, нужно ли
срочно ехать или достаточно приехать к шести, чтобы в десять
встретить первого клиента. Не нужно всё это? Ну-ну. Почтовая
служба у нас была шестикратно резервирована, а с учётом SWIFT
семикратно. Такую систему теоретически невозможно сломать.
Поверьте, в таком хозяйстве очень приятно работать, и каждый
очень дорожит своим рабочим местом. Операционистке уйти на 5
минут раньше?. Извините, ей и в голову не придёт.
В учреждениях попроще, где задолго до 18 часов выстраивается
очередь, нетерпеливо ждущих, когда бабка с пистолетом откроет
турникет, ничего этого не нужно. Возможно, если у них есть
сеть :-), им достаточно услуг девушки из mo.job, которая
приедет через час на скутере и всё починит. Если Вы к ней не
будете сексуально приставать.
--
С уважением,
С.С.Скулаченко
[-- Attachment #1: Type: text/plain, Size: 10934 bytes --] On Thu, Apr 12, 2007 at 12:04:45PM +0400, Nick Gavrikov wrote: >> Я к этому ещё добавлял все-таки и наличие файлсервера, на котором могут >> лежать какие-то документы, и который тоже backup'иться. "My Documents" >> указывала на сетевой диск, так что все было в этом смысле нормально. Но >> это нужно только в том случае, если не вся работа менеджеров может быть >> четко сформулирована в рамках этой базы (например если они изобретают >> какой-нибудь способ раскрутки, связываются со сторонними компаниями >> предоставляющими клиентов, или ещё что хитрое и не предусмотреное при >> создании базы творят). NG> К сожалению, рядовые менеджеры ничего этого делать не могут :-( В смысле не имеют полномочий, или квалификации чтобы что-нибудь изобрести? NG> Если у них есть какие-то мысли, они обмениваются ими по почте (лежит NG> на сервере в IMAP). Так что мы пришли к мысли, что нефиг забивать им NG> голову всякой фигней. Кстати о почте в IMAP, как вы решили проблему с тем, чтобы: а) почта хранилась вечно; б) была доступна через IMAP; То бишь чтобы юзверя могли таскать почту между папками хоть до полного офигения, но при попытке удалить/переместить в thrash были посланы очень далеко и надолго, с конкретным указанием места куда они должны идти :) При этом сохранность почты имеет оборотную медаль -- сохранность спама :( И отличный способ скрыть какое-либо письмо просто пометив его как спам. NG> А если есть возможность сохранять MyDocuments - сразу начинается NG> левак, кривые сметы, составленные не через общую базу а в экселе и NG> т.д. В общем, лучше не искушать людей :-) Понятно :) >> Единственное что -- совсем полезно таки сделать образы диска, и реально >> раз в неделю-две разворачивать систему с образа. Чтобы не повадно было. NG> Ну вот это не знаю... Все-таки они как минимум винду подстраивают под NG> себя. Ставят размер шрифта, картинку на десктопе... и т.д. А NG> морочиться с контроллером домена и общими настройками ради такого дела NG> не хочется. А, действительно. Хотя это тоже в общем-то можно бэкапить, но это видимо не так уж и оправданый гемор. Хотя при большом штате менеджеров я бы все-таки предпочел делать именно так, и чистить машинки даже не периодично (в любой момент приезжает эникейщик и проходится по всем машинкам с norton ghost, который грузится естественно не с CD а по сети, ибо CD в машинах и не было никогда). > NG>> Заказы, с > NG>> которыми работа не ведется дольше месяца, отправляются в архив, куда > NG>> менеджеры доступ не имеют. >> Кстати это автоматом делается? NG> Как как? По крону, разумеется :-) Перловый скриптик по крону мувает часть базы в отдельный архив? Я вот думал на эту тему просто флажок ставить. Ну у меня пока не те объемы чтобы об этом думать, но на будущее уже начинаю думать как это сделать красиво. >> Жутко интересно попытать тебя на предмет >> какая вообще информация о заказе хранится. У меня сейчас заказ == данные >> требуемые для подготовки первички + ссылка на заказчика, в инфе о котором >> все реквизиты, всевозможные контакты и несколько полей для комментариев. NG> Ну во-первых, реквизиты заказчика, контактные лица, далее составленные NG> коммерческие предложения (на основании которых формируется первичка) и Кстати о, архив не подтвержденных заказчиком коммерческих предложений ведется? Если в них были внесены изменения, то это фомирование нового предложение или таки редактирование старого? NG> договора - в виде отдельных вордовских файлов. К сожалению, NG> автоматизировать составление договора не представляется возможным, NG> поскольку договор отсылается заказчику по почте, а он в свою очередь NG> обязательно в нем что-нибудь поправит: запятую где-нибудь переставит NG> на другое место и т.п. То есть исправления могут быть совсем NG> незначительные, но раз уж он так хочет - пусть будет. По этому NG> максимум что можно сделать - это сохранять все версии договора в виде NG> вордовских файлов и внутрь их не лезть. NG> Хорошо бы еще, конечно, сделать diff двух файлов, но это уже задача NG> более сложного порядка :-) Я все хочу формировать договора тоже как html, чтобы иметь набор пунктов которые включаются/отключаются по желанию. У меня отдельные клиенты любят задалбывать тем что договор под них фактически переписывается :( А вот многие просто добавляют один-два пункта, которые могут быть полезны и для других клиентов. > NG>> Офис 2. Бухгалтерия, юр.отдел. >> Кстати о базе -- они работают с тамошней базой, или ты не поленился >> сделать репликацию? NG> Поленился :-) NG> К счастью, интернет работает достаточно стабильно, а трафик ни у NG> менеджеров, ни у бухов никто не считает. Я все думаю о распределенке нормальной. Мне совсем-совсем не нравится идея с одной базой, но написать распределенку мне оказалось пока слабо. Смысл распределенки может быть, например в том, что в офисе вообще нет того же архива. Физически. Он удаляется. И есть этот архив только у меня на магнитооптике. Я пытаюсь совместить полезное с полезной -- оперативные данные с которыми я работаю должны быть даже на моем нутбуке, но при этом если этот ноутбук я где-то забуду чтобы рвать волосы пришлось только на тему "жаба душит новый покупать", а не на тему "ой блин сколько там было инфы". >> А в связи с чем не стал разрешать анлимный доступ к группе бухсайтов, >> вроде mosnalog.ru и прочих аналогичных? NG> В связи с тем, что это им не нужно. Чтобы не задавали глупых вопросов NG> "а почему mosnalog можно а xyz нельзя". Или "а почему я нажала на NG> ссылку (банер) а она не работает". Помимо этого, точный список сайтов, NG> к которым следует разрешить доступ, мне не известен. А еще, в NG> бухгалтерии у нас работают люди... м.... старшего возраста, увидевшие NG> компьютер не очень много лет назад. Со всеми вытекающими отсюда NG> последствиями. Так получилось. А, понятно. Там где я это вводил было проще: "можно все, что разрешит генеральный -- хотите на что-то ходить, спрашивайте разрешение у него". Но там молодежь была, потому боялись больше ни что данные куда-то перешлют, а что банально вирусняк на очередном развлекательном сайте поймают. Собственно разрешено мне было так сделать именно после того как я показал начальству по каким именно сайтам они ходят в рабочее время, и куда отправится их бухгалтерия в случае чего. >> Бухам не стал такое делать, потому как "для них это слишком хайтек", или >> были ещё причины? NG> Опять же, им это не нужно. Помимо этого, я не уверен, что наш главбух NG> разберется в иксах, работающих под виндой, да еще и по сети со своими NG> заморочками :-) А еще нефиг из интернета всякие проги устанавливать и NG> вирусов таскать. Пусть на линухе попробуют :-) NG> А то, блин, дали уже как-то в пенсионном фонде дискету с прогой NG> зараженной. Хорошо что последний дисковод сломался года этак два назад NG> :-) То бишь "для них это слишком хайтек, да и вообще нефиг", понятно :) >> Хотя все это >> тоже не гарантировано. Если икссервер умеет copy&paste, если найдется >> более-менее квалифицированый товарищ который захочет вынести -- вынесет :( NG> Про эту дырку я знаю, как ее закрыть - хз. Поставил X-сервер, не NG> умеющий copy&paste :-) Ну, разработчик найдет как событие в него передать :) Но боюсь немало времени у него это займет. >> В SecretNet для этого мандатный контроль используют, который в том числе >> буфер тоже контролирует, и данные не позволит скопипастить из ценного >> файлика в какое-либо приложение, кроме имеющего право на работу с этой >> информацией. NG> Немного не понятно, он это делает на стороне x-server? Или на стороне NG> работающих приложений? Если на стороне иксов - не годится, поскольку NG> программистам необходим администраторский доступ для работы. Если на NG> стороне приложений - а что мешает тем же сервером вбить содержимое NG> клипбоарда как будто текст на клавиатуре набрали? Кстати, по-моему он NG> так и делает. На стороне иксов :( Вернее на стороне машинки с которой человек работает. Иксы для этой штуки всего лишь одно из приложений, у которого есть уровень доступа. Соответственно можно сказать что всю инфу с грифом "ДСП" слать туда низя, а все создаваемые в используемом для разработки ПО по-умолчанию имеют гриф ДСП (да, понизить гриф пользователь не может). С разработчиками которые под администратором бороться сложно :( Гарантированых мер кроме как "выход в сеть только со второго компа" нет, а эта мера дороговата. А из негаратнированых тут могут помочь элементарно квоты на размер письма/их количество. Причем не жесткие, а все что выходит за квоты -- к начальству/СБ на премодерацию. > NG>> Есть некоторые тонкости организации безопасности канала по которому > NG>> работают иксы, пришлось немного KDM подпатчить. Если интересуют > NG>> подробности - расскажу. >> Безусловно. >> Шлите патчи (c) :) NG> В кратце - при логине юзверя поднимается правило файрвола, которое NG> разрешает ему доступ, при выходе - правило опускается. Подробнее NG> искать надо... Будет время -- стоит оформить в виде отдельного патчика в git. > NG>> На сервере имеется папка для бекапа, куда ежедневно все сотрудники > NG>> уходя с рабочего места обязаны клать исходный код проекта, над которым > NG>> они сегодня работали. >> Логично. А просто заставить их в добровольно принудительном порядке класть >> все рабочие файлы в те же MyDocuments, и автоматом бэкапить уже их? NG> Тогда они не смогут смотреть свой бекап по датам. Когда смотришь и NG> видишь, что реально за последнюю неделю ты ничего полезного не сделал NG> - очень стимулирует мыслительный процесс :-) :) А почему по датам смотреть-то не смогут? MyDocuments автоматом в эти самые backup по датам и копируется. Мне для этой цели очень bontmia нравится, суперская штука. Если на сервере SCSI, то можно себе позволить делать кроме ежедневных еще и хоть ежеминутные снапшоты. Она их хардлинками делает. >> Каким образом их взаимодействие организовано? Шареные папки, или более по >> человечески? NG> Здесь я особо проблем безопасности не вижу - так что все делается через самбу. В смысле шареные папки на сервере, или они шарят ресурсы прямо на своих компах? За второе откручивать голову, IMHO. > NG>> USB-порты в компьютерах и их корпуса опечатаны. Никаких дисководов на > NG>> них нет. Все флешки, диски и прочая фигня проносятся только через > NG>> начальство. >> А куда суются разрешенные флешки если USB-порты опечатаны? NG> В мой личный комп :-) NG> Сам понимаешь, флешка, попавшая в мой USB-разъем, будет как минимум NG> скопирована ко мне на винчестер :-) Флешки объемом больше 1 гига не NG> принимаются :-))) Параноик! :) -- С уважением, Денис http://freesource.info ---------------------------------------------------------------------------- Если вы точно не знаете, что ваша программа должна делать, надо ли ее начинать? [-- Attachment #2: Digital signature --] [-- Type: application/pgp-signature, Size: 189 bytes --]
Sergey S. Skulachenko пишет:
> On Thu, 12 Apr 2007 11:55:54 +0400
> Alexey Sidorov wrote:
>
>> Знаю, что в некоторых банках (надо сказать ведущих банках) всё
>> намного проще. И ведь ничего. Не разорились ещё :)
>
> Всё впереди:-). Банк иногда приводился в качестве примера
> потому, что это (как правило!) высоко организованное хозяйство,
> минута простоя которого очень дорого стоит. И цифра, поверьте,
> очень впечатляющая. Если это такой банк, в котором ежедневно
> открывается 2000 новых счетов. Если там всего десяток клиентов
> (домашний банк), то всё выглядит несколько иначе. Мой пример
> показывает, что в таком IT-хозяйстве не может быть разгильдяев
> и, ну, очень талатливых гастролёров, а сеть должна быть
> многократно резервирована. Например, за счёт многосвязности,
> когда к каждому узлу подходит более одного маршрута. За счёт
> наличия у аппаратуры холодного и горячего резерва. Наконец, за
> счёт продуманных мер безопасности, когда даже ведущим
> администраторам запрещается удалённый доступ в сеть, а проблема
> её диагностики решается наличием ночной дежурной смены. Для двух
> территорий, где находятся централизованные ресурсы, всего-то 12
> человек нужно. И будьте покойны, группу быстрого реагирования
> поднимут ночью в лучшем виде. А там каждый сам решает, нужно ли
> срочно ехать или достаточно приехать к шести, чтобы в десять
> встретить первого клиента. Не нужно всё это? Ну-ну. Почтовая
> служба у нас была шестикратно резервирована, а с учётом SWIFT
> семикратно. Такую систему теоретически невозможно сломать.
> Поверьте, в таком хозяйстве очень приятно работать, и каждый
> очень дорожит своим рабочим местом. Операционистке уйти на 5
> минут раньше?. Извините, ей и в голову не придёт.
>
Ну я имел ввиду именно крупный банк. Я ничего не говорил про резервирование, вы всё правильно пишете.
И естественно не об операционистках, а о нормальных служащих.
Которые и в аське сидят, и по сайтам лазают,и на болванки фотки кидают принесённые на флэшке из
дома. Да ещё умудряются на этих болванках цветным принтером лейблы печатать.
И естественно, при всём при этом у них НЕТ возможности стырить служебную информацию.
Вернее наверняка такая возможность есть. Её не может не быть.
Но тут уж вступают в действие и СБ и УК.
--
Alexey Sidorov
mailto:alex@reutman.ru
JID: alex@reutman.ru
ICQ: 5052225
[-- Attachment #1: Type: text/plain, Size: 1728 bytes --] On Thu, Apr 12, 2007 at 01:21:48PM +0400, Alexey Sidorov wrote: AS> Ну я имел ввиду именно крупный банк. Я ничего не говорил про резервирование, вы всё правильно пишете. AS> И естественно не об операционистках, а о нормальных служащих. AS> Которые и в аське сидят, и по сайтам лазают,и на болванки фотки кидают принесённые на флэшке из AS> дома. Да ещё умудряются на этих болванках цветным принтером лейблы печатать. AS> И естественно, при всём при этом у них НЕТ возможности стырить служебную информацию. AS> Вернее наверняка такая возможность есть. Её не может не быть. AS> Но тут уж вступают в действие и СБ и УК. Я скорее сторонник того чтобы разориться на a-la "интернет кафе" для собственных сотрудников, чем позволить им творить черт знает что со своего рабочего места". Хотя опять же все зависит от. Рабочее место человека, который работает над OpenSource проектами и больше ничем вообще не имеет смысла как-либо ограничивать (кроме как по доступу к ЛВС), ибо ве равно вся его работа будет завтра же выложена в public, и если он выложит ее сам -- только другим меньше работы :) А флешки в банке... гм. Ой не знаю. Я бы не месте СБ'шников вежливо попросил немедленно убрать эту гадость из помещения банка. А попытка вынести с территории болванку кончилась бы для сотрудника лишением премии (если на ней только фотка) или визитом в милицию (если на ней не только фотки). Банк это банк. А разгильдяйство в банках уже приводит к тому что внутренняя информация банков продается в ларьках на каждом углу. -- С уважением, Денис http://freesource.info ---------------------------------------------------------------------------- LATER наступило. Патчи в аттачах. -- raorn in #5429 [-- Attachment #2: Digital signature --] [-- Type: application/pgp-signature, Size: 189 bytes --]
12.04.07, Денис Смирнов написал(а): > >> четко сформулирована в рамках этой базы (например если они изобретают > >> какой-нибудь способ раскрутки, связываются со сторонними компаниями > >> предоставляющими клиентов, или ещё что хитрое и не предусмотреное при > >> создании базы творят). > NG> К сожалению, рядовые менеджеры ничего этого делать не могут :-( > > В смысле не имеют полномочий, или квалификации чтобы что-нибудь изобрести? Хороший менеджер достаточно часто выплевывает различные бредовые идеи по привлечению клиента. Процентов 90 из них уходит сразу в помойку/на додумывание. Оставшиеся идеи могут быть реализованы, но только менеджеры это делать все равно не будут. Таким образом, менеджерам не нужно хранить никакой информации. Идеи - они все равно в голове, а обсуждаются как правило по почте, реже по телефону или при личном контакте. > NG> Если у них есть какие-то мысли, они обмениваются ими по почте (лежит > NG> на сервере в IMAP). Так что мы пришли к мысли, что нефиг забивать им > NG> голову всякой фигней. > > Кстати о почте в IMAP, как вы решили проблему с тем, чтобы: > а) почта хранилась вечно; > б) была доступна через IMAP; Вся почта, проходящая через сервер, копируется в специальный почтовый ящик. Раз в определенный период времени оттуда почта выгребается скриптом, индексируется и архивируется. К базе почтовых сообщений есть доступ через веб-морду, которая позволяет искать письма, просматривать и присылать их по новой на ящик оператора веб-морды (с MIME и аттачеными файлами я особо не морочался). > То бишь чтобы юзверя могли таскать почту между папками хоть до полного > офигения, но при попытке удалить/переместить в thrash были посланы очень > далеко и надолго, с конкретным указанием места куда они должны идти :) Поскольку я уже скопировал все себе - это их почта, пусть хоть обудаляются. > При этом сохранность почты имеет оборотную медаль -- сохранность спама :( > И отличный способ скрыть какое-либо письмо просто пометив его как спам. Спам я тоже сохраняю :-) На самом деле в запакованном виде почта занимает не особо много. У меня с августа 2003 года архив - что-то около 30 гигов всего лишь. > > NG>> Заказы, с > > NG>> которыми работа не ведется дольше месяца, отправляются в архив, куда > > NG>> менеджеры доступ не имеют. > >> Кстати это автоматом делается? > NG> Как как? По крону, разумеется :-) > > Перловый скриптик по крону мувает часть базы в отдельный архив? Нет, флажок ставит в SQL: уродцам не показывать :-) > >> Жутко интересно попытать тебя на предмет > >> какая вообще информация о заказе хранится. У меня сейчас заказ == данные > >> требуемые для подготовки первички + ссылка на заказчика, в инфе о котором > >> все реквизиты, всевозможные контакты и несколько полей для комментариев. > NG> Ну во-первых, реквизиты заказчика, контактные лица, далее составленные > NG> коммерческие предложения (на основании которых формируется первичка) и > > Кстати о, архив не подтвержденных заказчиком коммерческих предложений > ведется? Если в них были внесены изменения, то это фомирование нового > предложение или таки редактирование старого? Ничего старое не редактируется. Только создается новое на основании старого (все поля из старого копируются в новое, потом можно это править до тех пор пока не нажмешь кнопку "Готово"). С новым номером и т.д. > Я все хочу формировать договора тоже как html, чтобы иметь набор пунктов > которые включаются/отключаются по желанию. У меня отдельные клиенты любят > задалбывать тем что договор под них фактически переписывается :( А вот > многие просто добавляют один-два пункта, которые могут быть полезны и для > других клиентов. Вот именно из-за таких которые договор переписывают я и не стал делать систему "включить пункт - выключить пункт", поскольку с этими клиентами все равно как-то работать придется, а делать ни для кого исключения я не хочу. > Я все думаю о распределенке нормальной. Мне совсем-совсем не нравится идея > с одной базой, но написать распределенку мне оказалось пока слабо. Опять же, ежечасный бекап базы в МОЕМ случае проблему решает. Я не банк, работа у меня другая и соответственно этому затрачиваемые средства другие. > Смысл распределенки может быть, например в том, что в офисе вообще нет > того же архива. Физически. Он удаляется. И есть этот архив только у меня > на магнитооптике. Я своему карману, честно говоря, доверяю не больше чем своему офису. Если данные действительно важные - только шифрация. Ну а зашифрованные архивы (мои) ломать нереентабельно. Так что нет никакого резона что-либо стирать :-) > А из негаратнированых тут могут помочь элементарно квоты на размер > письма/их количество. Причем не жесткие, а все что выходит за квоты -- к > начальству/СБ на премодерацию. Ну ты, наверное, представляешь что файлы можно не только через SMTP передавать :-) есть еще такая весьма неудобная вещь как HTTP и еще более неудобная: HTTPS. > >> Каким образом их взаимодействие организовано? Шареные папки, или более по > >> человечески? > NG> Здесь я особо проблем безопасности не вижу - так что все делается через самбу. > > В смысле шареные папки на сервере, или они шарят ресурсы прямо на своих > компах? За второе откручивать голову, IMHO. Поскольку я не могу кроме как административнами мерами запретить шарить папки у себя - пусть шарят. Мне пофиг. Все равно они все сидят за линуксовским файрволом и доступ между разными группами не имеют. Только внутри группы. А за что голову-то откручивать? -- С уважением, Nick Gavrikov
On Thu, 12 Apr 2007 13:21:48 +0400 Alexey Sidorov wrote: > Ну я имел ввиду именно крупный банк. Я тем временем придумал полезный пример для оценок. Импэксбанк некоторое время назад был продан Группе Райффайзен за 600 миллионов долларов (по памяти). Если такой банк простоит 2 дня, он исчезнет. Клиенты перебегут к другим. Отсюда минута простоя = На самом деле считается иначе, по размеру дневной прибыли, а не стоимости активов. > Которые и в аське сидят, и по сайтам лазают Аська была запрещена, а чаты категорически. Статистика показала, что чаты создают, трудно поверить, заметный трафик. Запрещены все виды хрени, включая потоковое вещание. Авторизация на прокси и ограниченная ширина канала на каждого пользователя (в зависимости от роли :-). В качестве анекдота. За несколько минут до срока передачи в ЦБ заключительного файла прибегает с жуткими глазами начальница операционного отдела и сообщает, что связи с центральной машиной практически нет. Быстро выясняются две машины, создающие в сети жуткий трафик. Они тут же блокируются. Файл тут же создаётся, дежурный запускает свои скрипты. Всё, протолкнули, рабочий день закончен. Я тут же пишу докладную о необходимости расследования. Оно выясняет, что наш начальник управления развития филиальной сети принял вызов директора процессингового центра в пластиковых картах и они резались в Doom. Всего этого я не знал. Иначе бы догадался, что виноваты мы сами. Какая-то путаница возникла с сетевыми сегментами, но администраторы в этом так и не признались. А я получил нахлобучку за то что выставил двух страдальцев на хорошую сумму. Так можно в игры играть? -- С уважением, С.С.Скулаченко
[-- Attachment #1: Type: text/plain, Size: 1119 bytes --] On Thu, Apr 12, 2007 at 06:53:00PM +0700, Vyatcheslav Perevalov wrote: >> А попытка >> вынести с территории болванку кончилась бы для сотрудника лишением премии >> (если на ней только фотка) или визитом в милицию (если на ней не только >> фотки). VP> Есть способ обнаружить болванку, лежащую в кармане? Законный только один -- отсутствие резаков на рабочих местах и залитые клеем USB-разъемы + опечатаные корпуса + видеонаблюдение в офисе. Обыски и прочий кошмар допустимы исключительно на предприятиях работающих с гостайной для сотрудников которые непосредственнно с ней работают. Тут уж извините, такова жизнь :( В любых других случаях следует организовывать безопасность так, чтобы сотрудник не мог вынести физически что-либо, а не проверять вынес или нет, тем более что это весьма унизительная процедура, которой мало кому хочется подвергаться. А унижать собственных сотрудников это несколько... э... более чем аморально. -- С уважением, Денис http://freesource.info ---------------------------------------------------------------------------- fixed in забыл когда -- zerg in #6750 [-- Attachment #2: Digital signature --] [-- Type: application/pgp-signature, Size: 189 bytes --]
В сообщении от 12 апреля 2007 16:28 Денис Смирнов написал(a):
> А попытка
> вынести с территории болванку кончилась бы для сотрудника лишением премии
> (если на ней только фотка) или визитом в милицию (если на ней не только
> фотки).
Есть способ обнаружить болванку, лежащую в кармане?
--
Всего хорошего
/vip
[-- Attachment #1: Type: text/plain, Size: 7930 bytes --] On Thu, Apr 12, 2007 at 01:50:11PM +0400, Nick Gavrikov wrote: > >>> четко сформулирована в рамках этой базы (например если они изобретают > >>> какой-нибудь способ раскрутки, связываются со сторонними компаниями > >>> предоставляющими клиентов, или ещё что хитрое и не предусмотреное при > >>> создании базы творят). > NG>> К сожалению, рядовые менеджеры ничего этого делать не могут :-( >> В смысле не имеют полномочий, или квалификации чтобы что-нибудь изобрести? NG> Хороший менеджер достаточно часто выплевывает различные бредовые идеи NG> по привлечению клиента. Процентов 90 из них уходит сразу в помойку/на NG> додумывание. Оставшиеся идеи могут быть реализованы, но только NG> менеджеры это делать все равно не будут. Таким образом, менеджерам не NG> нужно хранить никакой информации. Идеи - они все равно в голове, а NG> обсуждаются как правило по почте, реже по телефону или при личном NG> контакте. Ясно, логично. > NG>> Если у них есть какие-то мысли, они обмениваются ими по почте (лежит > NG>> на сервере в IMAP). Так что мы пришли к мысли, что нефиг забивать им > NG>> голову всякой фигней. >> Кстати о почте в IMAP, как вы решили проблему с тем, чтобы: >> а) почта хранилась вечно; >> б) была доступна через IMAP; NG> Вся почта, проходящая через сервер, копируется в специальный почтовый NG> ящик. Раз в определенный период времени оттуда почта выгребается NG> скриптом, индексируется и архивируется. К базе почтовых сообщений есть NG> доступ через веб-морду, которая позволяет искать письма, просматривать NG> и присылать их по новой на ящик оператора веб-морды (с MIME и NG> аттачеными файлами я особо не морочался). Удобно, однако. С аттачами ты не морочился, как я понимаю, просто потому что ты же их и запрещаешь? >> То бишь чтобы юзверя могли таскать почту между папками хоть до полного >> офигения, но при попытке удалить/переместить в thrash были посланы очень >> далеко и надолго, с конкретным указанием места куда они должны идти :) NG> Поскольку я уже скопировал все себе - это их почта, пусть хоть обудаляются. Логично. >> При этом сохранность почты имеет оборотную медаль -- сохранность спама :( >> И отличный способ скрыть какое-либо письмо просто пометив его как спам. NG> Спам я тоже сохраняю :-) NG> На самом деле в запакованном виде почта занимает не особо много. У NG> меня с августа 2003 года архив - что-то около 30 гигов всего лишь. 30 гиг бэкапить без ленточки неудобно :( И даже DDS-4 ленточки уже маловато. Ты забил, или инкрементальный бэкап делаешь? > > NG>>> Заказы, с > > NG>>> которыми работа не ведется дольше месяца, отправляются в архив, куда > > NG>>> менеджеры доступ не имеют. > >>> Кстати это автоматом делается? > NG>> Как как? По крону, разумеется :-) >> Перловый скриптик по крону мувает часть базы в отдельный архив? NG> Нет, флажок ставит в SQL: уродцам не показывать :-) :) Я вот думал кроме этого флажка еще и в другую таблицу переносить. Удобно в плане производительности весьма, когда основная табличка с которой идет работа маааааленькая. > >>> Жутко интересно попытать тебя на предмет > >>> какая вообще информация о заказе хранится. У меня сейчас заказ == данные > >>> требуемые для подготовки первички + ссылка на заказчика, в инфе о котором > >>> все реквизиты, всевозможные контакты и несколько полей для комментариев. > NG>> Ну во-первых, реквизиты заказчика, контактные лица, далее составленные > NG>> коммерческие предложения (на основании которых формируется первичка) и >> Кстати о, архив не подтвержденных заказчиком коммерческих предложений >> ведется? Если в них были внесены изменения, то это фомирование нового >> предложение или таки редактирование старого? NG> Ничего старое не редактируется. Только создается новое на основании NG> старого (все поля из старого копируются в новое, потом можно это NG> править до тех пор пока не нажмешь кнопку "Готово"). С новым номером и NG> т.д. Понял. >> Я все хочу формировать договора тоже как html, чтобы иметь набор пунктов >> которые включаются/отключаются по желанию. У меня отдельные клиенты любят >> задалбывать тем что договор под них фактически переписывается :( А вот >> многие просто добавляют один-два пункта, которые могут быть полезны и для >> других клиентов. NG> Вот именно из-за таких которые договор переписывают я и не стал делать NG> систему "включить пункт - выключить пункт", поскольку с этими NG> клиентами все равно как-то работать придется, а делать ни для кого NG> исключения я не хочу. Понял. >> Я все думаю о распределенке нормальной. Мне совсем-совсем не нравится идея >> с одной базой, но написать распределенку мне оказалось пока слабо. NG> Опять же, ежечасный бекап базы в МОЕМ случае проблему решает. Я не NG> банк, работа у меня другая и соответственно этому затрачиваемые NG> средства другие. А, у меня была именно цель организовать распределенку из-за того что хочется единую систему, но при этом клиенты могут и через web сами себе заказы формировать. При этом ясен пень что на хостинге держать _всю_ систему ой как не хочется. Только необработаные заказы от клиентов, которые их заказали через Web. Остальное -- во внутренний архив. >> Смысл распределенки может быть, например в том, что в офисе вообще нет >> того же архива. Физически. Он удаляется. И есть этот архив только у меня >> на магнитооптике. NG> Я своему карману, честно говоря, доверяю не больше чем своему офису. NG> Если данные действительно важные - только шифрация. Ну а зашифрованные NG> архивы (мои) ломать нереентабельно. Так что нет никакого резона NG> что-либо стирать :-) Ну, конкретно в моем случае я сейчас могу своему карману неплохо доверять, кроме того бэкапы хранить что дома, что в офисе считаю неразумным -- для этого есть более надежные места. >> А из негаратнированых тут могут помочь элементарно квоты на размер >> письма/их количество. Причем не жесткие, а все что выходит за квоты -- к >> начальству/СБ на премодерацию. NG> Ну ты, наверное, представляешь что файлы можно не только через SMTP NG> передавать :-) есть еще такая весьма неудобная вещь как HTTP и еще NG> более неудобная: HTTPS. Я о том же -- гарантированых методов нет, кроме отсутствия интернета в здании :) А геморроя создать, а лучше даже чтобы все выглядело полностью открытым без ограничения, но чуть что подошел безопасник с добрым лицом и вежливо сказал что сотруднику пора писать заявление об увольнении :) Раньше я был активным сторонником технических методов ограничения. Сейчас также, но там где нельзя ограничить все -- надо просто сделать метод чтобы реальная безопасность была выше чем видимая, что может упростить поимку злонамереного сотрудника. А таких надо не штрафовать, не строить, а просто увольнять. > >>> Каким образом их взаимодействие организовано? Шареные папки, или более по > >>> человечески? > NG>> Здесь я особо проблем безопасности не вижу - так что все делается через самбу. >> В смысле шареные папки на сервере, или они шарят ресурсы прямо на своих >> компах? За второе откручивать голову, IMHO. NG> Поскольку я не могу кроме как административнами мерами запретить NG> шарить папки у себя - пусть шарят. Мне пофиг. Все равно они все сидят NG> за линуксовским файрволом и доступ между разными группами не имеют. NG> Только внутри группы. А за что голову-то откручивать? А, ну раз ты их по разным группам без доступа друг к другу раскидал -- Ok. Если продолжать параною то можно ещё вспомнить что и внутри группы есть такая сущность как "проект". Соответственно к информации каждого конкретного проекта имеют доступ те, кто над ним работают в настоящий момент. Если работали вчера -- уже не имеют. -- С уважением, Денис http://freesource.info ---------------------------------------------------------------------------- И не говорите потом, что я вас не предупреждал. -- ldv in sisyphus@ [-- Attachment #2: Digital signature --] [-- Type: application/pgp-signature, Size: 189 bytes --]
В сообщении от 12 апреля 2007 18:49 Денис Смирнов написал(a):
> VP> Есть способ обнаружить болванку, лежащую в кармане?
>
> Законный только один -- отсутствие резаков на рабочих местах и залитые
> клеем USB-разъемы + опечатаные корпуса + видеонаблюдение в офисе.
Это не "способ обнаружить болванку, лежащую в кармане", а мероприятия,
предотвращающие утечку информации. Не полный перечень, надо сказать.
--
Всего хорошего
/vip
[-- Attachment #1: Type: text/plain, Size: 1062 bytes --] On Thu, Apr 12, 2007 at 07:17:31PM +0700, Vyatcheslav Perevalov wrote: > VP>> Есть способ обнаружить болванку, лежащую в кармане? >> Законный только один -- отсутствие резаков на рабочих местах и залитые >> клеем USB-разъемы + опечатаные корпуса + видеонаблюдение в офисе. VP> Это не "способ обнаружить болванку, лежащую в кармане", а мероприятия, VP> предотвращающие утечку информации. Не полный перечень, надо сказать. Это мероприятие, которое полностью заменяет поиск болванки в кармане -- ибо позволяет удостовериться что её не будет. А так это естественно не тянет даже на "неполный перечень", а так, всего лишь одно из моря обязательных мероприятий, которые проводятся там где вынос информации недопустим в принципе, и где одного единственного факта выноса информации достаточно для увольнение поголовно всего руководства СБ. -- С уважением, Денис http://freesource.info ---------------------------------------------------------------------------- Если вы точно не знаете, что ваша программа должна делать, надо ли ее начинать? [-- Attachment #2: Digital signature --] [-- Type: application/pgp-signature, Size: 189 bytes --]
А что у нас есть для сабжа, с раздеделинем трафика на внутренний, внутри почтового домена, и внешний, по пользователям и т.д и т.п. Что то awstats малов то для этого получается или я его не правильно готовлю ... -- С уважением Шенцев Алексей Владимирович. E-mail: ashen@nsrz.ru XMPP: ashen@altlinux.org, AlexShen@jabber.ru ICQ: 271053845
12.04.07, Денис Смирнов написал(а): > > NG>> Если у них есть какие-то мысли, они обмениваются ими по почте (лежит > > NG>> на сервере в IMAP). Так что мы пришли к мысли, что нефиг забивать им > > NG>> голову всякой фигней. > >> Кстати о почте в IMAP, как вы решили проблему с тем, чтобы: > >> а) почта хранилась вечно; > >> б) была доступна через IMAP; > NG> Вся почта, проходящая через сервер, копируется в специальный почтовый > NG> ящик. Раз в определенный период времени оттуда почта выгребается > NG> скриптом, индексируется и архивируется. К базе почтовых сообщений есть > NG> доступ через веб-морду, которая позволяет искать письма, просматривать > NG> и присылать их по новой на ящик оператора веб-морды (с MIME и > NG> аттачеными файлами я особо не морочался). > > Удобно, однако. С аттачами ты не морочился, как я понимаю, просто потому > что ты же их и запрещаешь? Я их только в бухгалтерию запрещаю - чтобы вирусов не таскали. А всем остальным можно. Не морочался, поскольку это особо не нужно было. Сообщение можно просмотреть через веб-морду, а так же поставить галочку "получить это сообщение". При нажатии на Submit помеченные сообщения отправляются на e-mail оператору (в зависимости от того, под каким паролем вошел в веб-морду) и он уже может с помощью своей почтовой программы открывать аттачи, перекодировать (если надо) и т.д. Просто писать свой webmail в моих планах не стояло - только самый минимум. > >> При этом сохранность почты имеет оборотную медаль -- сохранность спама :( > >> И отличный способ скрыть какое-либо письмо просто пометив его как спам. > NG> Спам я тоже сохраняю :-) > NG> На самом деле в запакованном виде почта занимает не особо много. У > NG> меня с августа 2003 года архив - что-то около 30 гигов всего лишь. > > 30 гиг бэкапить без ленточки неудобно :( И даже DDS-4 ленточки уже > маловато. Ты забил, или инкрементальный бэкап делаешь? Раз в сутки новые бандлы с почтой копируются на другой сервак по сети. Они же не изменяются, только новые добавляются, что их на ленточку класть? > Я вот думал кроме этого флажка еще и в другую таблицу переносить. Удобно в > плане производительности весьма, когда основная табличка с которой идет > работа маааааленькая. Ну у меня и основная таблица не настолько большая :-) по крайней мере тормозов пока нет. -- С уважением, Nick Gavrikov
12.04.07, Vyatcheslav Perevalov<vip0@seversk.ru> написал(а):
> > VP> Есть способ обнаружить болванку, лежащую в кармане?
> >
> > Законный только один -- отсутствие резаков на рабочих местах и залитые
> > клеем USB-разъемы + опечатаные корпуса + видеонаблюдение в офисе.
> Это не "способ обнаружить болванку, лежащую в кармане", а мероприятия,
> предотвращающие утечку информации. Не полный перечень, надо сказать.
Не, заливать клеем разъемы - это не наш метод, поскольку:
а) мать накрылась - негарантийный случай
б) клей вообще-то как правило можно выковырять. Было бы желание
в) к сожалению, существуют такие вещи как принтер, сканер, мышь и
прочие USB-устройства. Их все равно надо как-то подключать.
Мы просто наклеиваем номерные банковские пломбы на разъемы. Если в
него что-то воткнуто - тогда на кабель+заднюю стенку компа. Номера все
переписаны (вроде) но сам их вид отпугивает народ, попыток подлезть к
USB пока не зафиксировано :-)
А какие еще должны быть мероприятия?
--
С уважением,
Nick Gavrikov
Nick Gavrikov пишет:
> Мы просто наклеиваем номерные банковские пломбы на разъемы. Если в
Мне нравится :)
А выключить драйвер юсбстореджа - не проще?
[-- Attachment #1: Type: text/plain, Size: 506 bytes --] On Thu, Apr 12, 2007 at 06:35:24PM +0300, Gennadiy Redko wrote: >> Мы просто наклеиваем номерные банковские пломбы на разъемы. Если в GR> Мне нравится :) GR> А выключить драйвер юсбстореджа - не проще? У юзверя -- проще. А у разработчика с правами админа на машинке -- что не выключай, все равно включат. -- С уважением, Денис http://freesource.info ---------------------------------------------------------------------------- Ценность программы прямо пропорциональна весу ее "выдачи". [-- Attachment #2: Digital signature --] [-- Type: application/pgp-signature, Size: 189 bytes --]
[-- Attachment #1: Type: text/plain, Size: 1663 bytes --] On Thu, Apr 12, 2007 at 07:20:22PM +0400, Nick Gavrikov wrote: >>> Законный только один -- отсутствие резаков на рабочих местах и залитые >>> клеем USB-разъемы + опечатаные корпуса + видеонаблюдение в офисе. >> Это не "способ обнаружить болванку, лежащую в кармане", а мероприятия, >> предотвращающие утечку информации. Не полный перечень, надо сказать. NG> Не, заливать клеем разъемы - это не наш метод, поскольку: NG> а) мать накрылась - негарантийный случай По словам тех безопасников с которыми общался, во многих конторах это не проблема. А жесткие диски, например, в них вообще никто в гарантию не сдает -- их уничтожают :) NG> б) клей вообще-то как правило можно выковырять. Было бы желание У меня большие сомнения в возможности заклееный суперклеем разъем привести в живое состояние. А некоторые маньяки, по их словам, даже дорожки лезвием перерезают. NG> в) к сожалению, существуют такие вещи как принтер, сканер, мышь и NG> прочие USB-устройства. Их все равно надо как-то подключать. NG> Мы просто наклеиваем номерные банковские пломбы на разъемы. Если в NG> него что-то воткнуто - тогда на кабель+заднюю стенку компа. Номера все NG> переписаны (вроде) но сам их вид отпугивает народ, попыток подлезть к NG> USB пока не зафиксировано :-) Логично. Правда именно как отпугивающий фактор а не защищающий. А вообще все уже придумано для нас и терминалы рулез. Только для небольшого офиса дорого это :( NG> А какие еще должны быть мероприятия? -- С уважением, Денис http://freesource.info ---------------------------------------------------------------------------- fixed in забыл когда -- zerg in #6750 [-- Attachment #2: Digital signature --] [-- Type: application/pgp-signature, Size: 189 bytes --]
[-- Attachment #1: Type: text/plain, Size: 1894 bytes --] On Thu, Apr 12, 2007 at 07:10:28PM +0400, Nick Gavrikov wrote: NG> Я их только в бухгалтерию запрещаю - чтобы вирусов не таскали. А всем NG> остальным можно. Не морочался, поскольку это особо не нужно было. NG> Сообщение можно просмотреть через веб-морду, а так же поставить NG> галочку "получить это сообщение". При нажатии на Submit помеченные NG> сообщения отправляются на e-mail оператору (в зависимости от того, под NG> каким паролем вошел в веб-морду) и он уже может с помощью своей NG> почтовой программы открывать аттачи, перекодировать (если надо) и т.д. NG> Просто писать свой webmail в моих планах не стояло - только самый NG> минимум. А, ну раз оператор можнт получить письмо себе, то остальное уже и не важно. >> 30 гиг бэкапить без ленточки неудобно :( И даже DDS-4 ленточки уже >> маловато. Ты забил, или инкрементальный бэкап делаешь? NG> Раз в сутки новые бандлы с почтой копируются на другой сервак по сети. NG> Они же не изменяются, только новые добавляются, что их на ленточку NG> класть? А, ну так и получается инкрементальный бэкап этими бандлами. >> Я вот думал кроме этого флажка еще и в другую таблицу переносить. Удобно в >> плане производительности весьма, когда основная табличка с которой идет >> работа маааааленькая. NG> Ну у меня и основная таблица не настолько большая :-) по крайней мере NG> тормозов пока нет. Если не делать fullscan, то думаю таблица может очень крупно вырасти перед тем как это понадобится :) И боюсь что столь мелкая компания (всего 3 офиса с максимум 2-3 десятками сотрудников, как это выглядит из твоего описания) за несколько лет не сможет так забить базу, чтобы это тормозило. -- С уважением, Денис http://freesource.info ---------------------------------------------------------------------------- ПРИНЦИП БЕНЕДИКТА (РАНЕЕ 9-Е СЛЕДСТВИЕ МЕРФИ) В природе всегда сокрыт тайный порок. [-- Attachment #2: Digital signature --] [-- Type: application/pgp-signature, Size: 189 bytes --]
12.04.07, Денис Смирнов написал(а): > NG> а) мать накрылась - негарантийный случай > > По словам тех безопасников с которыми общался, во многих конторах это не > проблема. А жесткие диски, например, в них вообще никто в гарантию не > сдает -- их уничтожают :) Ну, для меня это все же черезчур расточительно :-) хотя чисто теоретически для важных данных - поддерживаю :-) > NG> б) клей вообще-то как правило можно выковырять. Было бы желание > > У меня большие сомнения в возможности заклееный суперклеем разъем привести > в живое состояние. В живое - вряд ли. В рабочее - без проблем. Выковыриваешь клей, паяльником подчищаешь контакты, облуживаешь, разрезаешь USB-кабель пополам, припаиваешь отрезанный конец в разъем. Там всего 4 проводка, причем реально из них нужны только два. Еще два - питание и земля, их можно взять откуда угодно (хоть от внешнего китайского блока питания, землю только соедини с корпусом). Подлезть можно при желании. > А некоторые маньяки, по их словам, даже дорожки лезвием > перерезают. Если перережешь дорожки - точно негарантийный случай. Если выпаять аккуратно разъем - потом его можно так же аккуратно впаять. Возможно, в гарантию плату примут. (По поводу выпаивания разъема - некоторое время так делали, работает реально). Правда, надо иметь соответствующих специалистов, умеющий держать в руках паяльник и фен :-) > NG> в) к сожалению, существуют такие вещи как принтер, сканер, мышь и > NG> прочие USB-устройства. Их все равно надо как-то подключать. > NG> Мы просто наклеиваем номерные банковские пломбы на разъемы. Если в > NG> него что-то воткнуто - тогда на кабель+заднюю стенку компа. Номера все > NG> переписаны (вроде) но сам их вид отпугивает народ, попыток подлезть к > NG> USB пока не зафиксировано :-) > > Логично. Правда именно как отпугивающий фактор а не защищающий. Как гарантирующий отсутствие взлома. Не защищающий, разумеется. В любом случае, если ты так или иначе выводишь из строя USB - как тогда подсоединять принтеры-сканеры? В принципе, это можно подсоединить к отдельному компьютеру, куда доступ админа никому не давать, а все пусть печатают и сканируют по сети. Но это, конечно, связано с некоторыми неудобствами для работников. Кроме того, возможно найдутся и другие USB-устройства, с которыми необходимо работать. В частности, у меня программатор USB. В общем, полностью сносить USB мне кажется нецелесообразно. Ограничения вполне достаточно. -- С уважением, Nick Gavrikov
On Thu, Apr 12, 2007 at 10:25:49PM +0400, Nick Gavrikov wrote: > NG>> а) мать накрылась - негарантийный случай >> По словам тех безопасников с которыми общался, во многих конторах это не >> проблема. А жесткие диски, например, в них вообще никто в гарантию не >> сдает -- их уничтожают :) NG> Ну, для меня это все же черезчур расточительно :-) хотя чисто NG> теоретически для важных данных - поддерживаю :-) Те безопасники из одной нефтяной компании, с которыми я на эту тему трепался, делали это первым делом после покупки компьютеров. Сам понимаешь, нефтяникам стоимость этих компьютеров и наличие гарантии вообще не интересна. > NG>> б) клей вообще-то как правило можно выковырять. Было бы желание >> У меня большие сомнения в возможности заклееный суперклеем разъем привести >> в живое состояние. NG> В живое - вряд ли. В рабочее - без проблем. Выковыриваешь клей, NG> паяльником подчищаешь контакты, облуживаешь, разрезаешь USB-кабель NG> пополам, припаиваешь отрезанный конец в разъем. Там всего 4 проводка, NG> причем реально из них нужны только два. Еще два - питание и земля, их NG> можно взять откуда угодно (хоть от внешнего китайского блока питания, NG> землю только соедини с корпусом). Подлезть можно при желании. Я представил себе как он это делает в помещении, где он не единственный кто работает. Боюсь ты успеешь даже из другого офиса за это время приехать с каким-нибудь тяжелым аргументом для вразумления :) >> А некоторые маньяки, по их словам, даже дорожки лезвием >> перерезают. NG> Если перережешь дорожки - точно негарантийный случай. Если выпаять NG> аккуратно разъем - потом его можно так же аккуратно впаять. Возможно, NG> в гарантию плату примут. (По поводу выпаивания разъема - некоторое NG> время так делали, работает реально). Правда, надо иметь NG> соответствующих специалистов, умеющий держать в руках паяльник и фен NG> :-) Маньяк! > NG>> в) к сожалению, существуют такие вещи как принтер, сканер, мышь и > NG>> прочие USB-устройства. Их все равно надо как-то подключать. > NG>> Мы просто наклеиваем номерные банковские пломбы на разъемы. Если в > NG>> него что-то воткнуто - тогда на кабель+заднюю стенку компа. Номера все > NG>> переписаны (вроде) но сам их вид отпугивает народ, попыток подлезть к > NG>> USB пока не зафиксировано :-) >> Логично. Правда именно как отпугивающий фактор а не защищающий. NG> Как гарантирующий отсутствие взлома. Не защищающий, разумеется. Ну, _гарантирующий_ отсутствие взлома есть только один метод -- не нанимать сотрудников, сжечь все компьютеры. NG> В любом случае, если ты так или иначе выводишь из строя USB - как NG> тогда подсоединять принтеры-сканеры? В принципе, это можно NG> подсоединить к отдельному компьютеру, куда доступ админа никому не NG> давать, а все пусть печатают и сканируют по сети. Но это, конечно, NG> связано с некоторыми неудобствами для работников. Кроме того, возможно NG> найдутся и другие USB-устройства, с которыми необходимо работать. В NG> частности, у меня программатор USB. NG> В общем, полностью сносить USB мне кажется нецелесообразно. NG> Ограничения вполне достаточно. Как обычно -- применимость любого метода зависит от конкретной задачи. -- С уважением, Денис http://freesource.info ---------------------------------------------------------------------------- И Бейсик - сын ошибок трудных, и Клиппер Парадоксов друг.
В сообщении от Thursday 12 April 2007 18:07:14 Шенцев Алексей Владимирович
написал(а):
> А что у нас есть для сабжа, с раздеделинем трафика на внутренний, внутри
> почтового домена, и внешний, по пользователям и т.д и т.п. Что то awstats
> малов то для этого получается или я его не правильно готовлю ...
Я к тому, что у меня awstats выдаёт не реальные цифры:
Месяц Почта Размер
Январь 2007 89028 4.52 ГБ
Февраль 2007 153326 17.57 ГБ
Март 2007 508256 64.59 ГБ
Апрель 2007 37828 7.83 ГБ
Май 2007 0 0
Июнь 2007 0 0
Июль 2007 0 0
Август 2007 0 0
Сентябрь 2007 0 0
Октябрь 2007 0 0
Ноябрь 2007 0 0
Декабрь 2007 0 0
Total 788438 94.52 ГБ
Такого я не
--
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
XMPP: ashen@altlinux.org, AlexShen@jabber.ru
ICQ: 271053845
On Wednesday 11 April 2007, Sergei Boudnik wrote:
> Реальной 100%-й защиты от DDoS не существует (пока живем на IPv4)
А в v6 предусмотрено ?! Интересно, каким образом.
--
С уважением, Сергей
a_s_y@sama.ru
On Fri, Apr 13, 2007 at 05:04:21PM +0500, Sergey wrote: >> Реальной 100%-й защиты от DDoS не существует (пока живем на IPv4) S> А в v6 предусмотрено ?! Интересно, каким образом. Судя по тому что я читал об ipv6 там проблем создано куда больше чем решено. Но я отнюдь не спец по ipv6, поэтому утверждать не берусь. -- С уважением, Денис http://freesource.info ---------------------------------------------------------------------------- <Voins> wow, gvy уже и в bugtraq засветился :)) никогда его там раньше не видел :)
Доброго дня, уважаемые. Не подскажет ли кто как скриптом отлогинить пользователя? АЛМ24 в режиме ТС. --- С уважением, Константин Былым.
Ivan Fedorov wrote:
> Konstantin. A. Bylym пишет:
>
>>Доброго дня, уважаемые. Не подскажет ли кто как скриптом отлогинить
>>пользователя? АЛМ24 в режиме ТС.
>
>
> pkill
Спасибо. Похоже, что оно. Будем попробовать, но только вечером. На детях
8-О Вдруг понадобилось ограничить время доступа/пользования. С отлупом
входа решил путем замены в /etc/passwd username:x: на username:!x: по
крону. Оставалось только прибить сеанс :D
---
С уважением, Константин Былым.
Konstantin. A. Bylym пишет:
> Доброго дня, уважаемые. Не подскажет ли кто как скриптом отлогинить
> пользователя? АЛМ24 в режиме ТС.
pkill
Konstantin. A. Bylym wrote:
> Ivan Fedorov wrote:
>
>>Konstantin. A. Bylym пишет:
>>
>>
>>>Доброго дня, уважаемые. Не подскажет ли кто как скриптом отлогинить
>>>пользователя? АЛМ24 в режиме ТС.
>>
>>
>>pkill
>
> Спасибо. Похоже, что оно. Будем попробовать, но только вечером. На детях
> 8-О Вдруг понадобилось ограничить время доступа/пользования.
Вышло :) Чем несказанно обрадовал ;) старшого детя :D
---
С уважением, Константин Былым.
Hello, ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>. можно ли каким-либо способом сдублировать входящие на почтовик пакеты на второй компьютер? при этом ответы этого компьютера никуда не будут транслироваться. это не важно. стоит постфикс и всяка фигня после него. sy, peter
Peter Evdokimov пишет:
> можно ли каким-либо способом сдублировать входящие на почтовик пакеты
> на второй компьютер? при этом ответы этого компьютера никуда не будут
> транслироваться. это не важно. стоит постфикс и всяка фигня после него.
На почтовик. Хотите копировать почту? Или целиком третий уровень (IP)?
Включить второй компьютер в цепочку маршрутизации для этого
почтовика и мониторить/копировать все проходящие пакеты.
Найти hub, подключить обе машины к нему и попробовать какой-нибудь
снифер.
Копировать всю почту сам постфикс должен уметь.
--
Anton Kvashin
On Thu, 19 Apr 2007 13:14:52 +0600 Anton Kvashin wrote: > > можно ли каким-либо способом сдублировать входящие на почтовик > > пакеты на второй компьютер? при этом ответы этого компьютера никуда > > не будут транслироваться. это не важно. стоит постфикс и всяка > > фигня после него. > > На почтовик. Хотите копировать почту? Или целиком третий уровень (IP)? > > Включить второй компьютер в цепочку маршрутизации для этого > почтовика и мониторить/копировать все проходящие пакеты. да, придется так и делать, спасибо, что натолкнули =) > Найти hub, подключить обе машины к нему и попробовать какой-нибудь > снифер. > > Копировать всю почту сам постфикс должен уметь. sy, peter
Всем добрый день. Не совсем понял, как в etcnet настроить бридж. Ситуация такая: несколько компов из локальной сети вынесли на отдельную площадку. В офисе поставили WiFi AP. В один из унесенных компов добавили WiFi карточку. Связь по WiFi заработала. Теперь хочется остальные машинки увязать в общую сеть. Вопрос: что дальше? - отключить получение ip-адресов сетевыми интерфейсами, - добавить объявление моста (TYPE=bri), - включить назначение ip-адреса интерфейсу моста? Последнее делается также как и для Ethernet? Из примера в doc/etcnet это явно не следует. Там какой-то очень абстрактный бридж пример, отягощенный непонятным левым туннелем, как связанным? С первой попытки не получилось, вот и хочется узнать: туда ли я рою, и нет ли каких подводных камней? -- Китайкин Анатолий Константинович ОАО "Радиоавионика", СПб
Привет всем. Вздумалось мне копировать входящий почтовый трафик на сервер, находящийся за файерволом, при этом основной почтовый сервер стоит на интернет-шлюзе. Как это можно сделать? -- С уважением Шенцев Алексей Владимирович. E-mail: ashen@nsrz.ru XMPP: ashen@altlinux.org, AlexShen@jabber.ru ICQ: 271053845
Добрый день.
2007/4/28, Шенцев Алексей Владимирович:
> Привет всем.
> Вздумалось мне копировать входящий почтовый трафик на сервер, находящийся за
> файерволом, при этом основной почтовый сервер стоит на интернет-шлюзе. Как
> это можно сделать?
Я бы сделал так: вся проходящая почта копируется в отдельный почтовый
ящик, откуда потом (например по POP3) она выгребается бекап-сервером
раз в сутки, индексируется и архивируется. Строчек 50-70, наверное,
используя perl, Net::POP3 и DBI
--
С уважением,
Nick Gavrikov
В сообщении от Saturday 28 April 2007 13:01:12 Nick Gavrikov написал(а):
> 2007/4/28, Шенцев Алексей Владимирович:
> > Привет всем.
> > Вздумалось мне копировать входящий почтовый трафик на сервер, находящийся
> > за файерволом, при этом основной почтовый сервер стоит на интернет-шлюзе.
> > Как это можно сделать?
>
> Я бы сделал так: вся проходящая почта копируется в отдельный почтовый
> ящик, откуда потом (например по POP3) она выгребается бекап-сервером
> раз в сутки, индексируется и архивируется. Строчек 50-70, наверное,
> используя perl, Net::POP3 и DBI
Не много не то, что хотелось бы. Хочу копировать входящий почтовый трафик на
другой сервак как есть. Просто хочется посмотреть и сравнить как будут
работать два разных почтовых сервера, использующие разное ПО.
А идея как организовать бекап-сервер для почты интересна и полезна. Спасибо.
--
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
XMPP: ashen@altlinux.org, AlexShen@jabber.ru
ICQ: 271053845
On Sat, 28 Apr 2007 13:12:52 +0400
Шенцев Алексей Владимирович wrote:
> Не много не то, что хотелось бы. Хочу копировать входящий почтовый
> трафик на другой сервак как есть. Просто хочется посмотреть и
> сравнить как будут работать два разных почтовых сервера, использующие
> разное ПО.
см. чуть ранее ответ на мой вопрос: "нужен совет"
sy,
peter
>>>>> On 26 Apr 2007 at 17:51 "AK" == A Kitouwaykin writes:
AK> Не совсем понял, как в etcnet настроить бридж.
AK> - отключить получение ip-адресов сетевыми интерфейсами,
AK> - добавить объявление моста (TYPE=bri),
AK> - включить назначение ip-адреса интерфейсу моста?
AK> Последнее делается также как и для Ethernet?
Всё просто. Например, создаём ifaces/{br0,eth0,eth1,eth2}, в ethX оставляем
только файл options. В br0 пишем в options type=bri и HOST='eth0 eth1 eth2'
в файл brctl пишем инструкции для brctl, например stp auto on. В файл
ipv4address как обычно пишем ip в формате CIDR.
Далее убедиться в наличии установленного пакета bridge-utils (или etcnet-full)
и убедиться в правильности пути к утилите brctl (с этим недавно были
проблемы), ну и service network restart.
--
vvk
Russian Postfix irc: irc.freenode.net #postfix-ru
Шенцев Алексей Владимирович пишет:
>> Я бы сделал так: вся проходящая почта копируется в отдельный почтовый
>> ящик, откуда потом (например по POP3) она выгребается бекап-сервером
>> раз в сутки, индексируется и архивируется. Строчек 50-70, наверное,
>> используя perl, Net::POP3 и DBI
>
> Не много не то, что хотелось бы. Хочу копировать входящий почтовый трафик на
> другой сервак как есть. Просто хочется посмотреть и сравнить как будут
> работать два разных почтовых сервера, использующие разное ПО.
Добавить еще одну MX запись для своей зоны.
Обеспечить MTA одной базой учеток.
Единое (или синхронизированное) POP3/IMAP хранилище (или LMTP на
горбу TCP и ложить на основной сервер POP3/IMAP).
--
Anton Kvashin
>>>>> On 28 Apr 2007 at 11:43 "a" == ashen writes:
a> Привет всем.
a> Вздумалось мне копировать входящий почтовый трафик на сервер, находящийся за
a> файерволом, при этом основной почтовый сервер стоит на интернет-шлюзе. Как
a> это можно сделать?
Можно попробовать через always_bcc = xxx@fakedomain.tld, и мыло на этот
фэйковый домен через transport заворачивать на нужный хост.
--
vvk
Russian Postfix irc: irc.freenode.net #postfix-ru
В сообщении от Saturday 28 April 2007 13:29:33 Peter Evdokimov написал(а):
> см. чуть ранее ответ на мой вопрос: "нужен совет"
Читал с самого начала. Не подходит такой вариант.
--
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
XMPP: ashen@altlinux.org, AlexShen@jabber.ru
ICQ: 271053845
В сообщении от Saturday 28 April 2007 14:15:59 Vladimir V. Kamarzin
написал(а):
> Можно попробовать через always_bcc = xxx@fakedomain.tld, и мыло на этот
> фэйковый домен через transport заворачивать на нужный хост.
Думал о таком, не то. Нукжно именно "как есть".
--
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
XMPP: ashen@altlinux.org, AlexShen@jabber.ru
ICQ: 271053845
В сообщении от Saturday 28 April 2007 14:13:18 Anton Kvashin написал(а): > Добавить еще одну MX запись для своей зоны. Хорошо. Попробую. > > Обеспечить MTA одной базой учеток. Естественно. > > Единое (или синхронизированное) POP3/IMAP хранилище (или LMTP на > горбу TCP и ложить на основной сервер POP3/IMAP). А это не нужно. -- С уважением Шенцев Алексей Владимирович. E-mail: ashen@nsrz.ru XMPP: ashen@altlinux.org, AlexShen@jabber.ru ICQ: 271053845
Шенцев Алексей Владимирович пишет:
>> Добавить еще одну MX запись для своей зоны.
> Хорошо. Попробую.
>> Обеспечить MTA одной базой учеток.
> Естественно.
>> Единое (или синхронизированное) POP3/IMAP хранилище (или LMTP на
>> горбу TCP и ложить на основной сервер POP3/IMAP).
> А это не нужно.
Тогда клиентов натравливать на две учетки (или они не увидят часть
почты, которую получил второй MX)
Второй (пятый, десятый) MX не копирует почту, он дает дополнительную
возможность доставки (например, когда не доступен основной MX или
разгрузить его)
--
Anton Kvashin
В сообщении от Saturday 28 April 2007 15:03:49 Anton Kvashin написал(а):
> Шенцев Алексей Владимирович пишет:
> >> Добавить еще одну MX запись для своей зоны.
> >
> > Хорошо. Попробую.
> >
> >> Обеспечить MTA одной базой учеток.
> >
> > Естественно.
> >
> >> Единое (или синхронизированное) POP3/IMAP хранилище (или LMTP на
> >> горбу TCP и ложить на основной сервер POP3/IMAP).
> >
> > А это не нужно.
>
> Тогда клиентов натравливать на две учетки (или они не увидят часть
> почты, которую получил второй MX)
>
> Второй (пятый, десятый) MX не копирует почту, он дает дополнительную
> возможность доставки (например, когда не доступен основной MX или
> разгрузить его)
Такое не устравивает. Надо именно копирование входящего почтового трафикак
один в один, как есть. Такое возможно сделать средствами iptables? Мне всё
равно потом нужно будет прокидывать почтовый трафик через межсетевой экран до
почтаря.
--
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
XMPP: ashen@altlinux.org, AlexShen@jabber.ru
ICQ: 271053845
Шенцев Алексей Владимирович пишет: > Привет всем. > Вздумалось мне копировать входящий почтовый трафик на сервер, находящийся за > файерволом, при этом основной почтовый сервер стоит на интернет-шлюзе. Как > это можно сделать? /etc/postfix/virtuals: # @mydomain.tld @mydomain.tld, @host.domain.local # -- WBR, Sergei Boudnik http://www.boudnik.kiev.ua -------------------------- Tel: +38050 3584082 ICQ UIN: 56809672 SSB-RIPE SSB1-UANIC ========================== Trap for spam & virii: trap@wildlist.org.ua
hi all в одну малюсенькую организацию поставил samba (1с базы) на отдельную машинку (обыкновенный miditower стоящий в уголке помещения). Что посоветуете - пусть себе крутится 24/7 или попросить людей когда домой уходят клацать на нём кнопочку power чтоб отключался и не гонял воздух почём зря по ночам на выходных и праздниках. -- Artem Zolochevskiy Kaliningrad, Russia JID: az@jabber.org
Artem Zolochevskiy пишет:
> hi all
>
> в одну малюсенькую организацию поставил samba (1с базы) на отдельную машинку
> (обыкновенный miditower стоящий в уголке помещения).
>
> Что посоветуете - пусть себе крутится 24/7 или попросить людей когда домой
> уходят клацать на нём кнопочку power чтоб отключался и не гонял воздух
> почём зря по ночам на выходных и праздниках.
>
Если в помещении никто не дежурит и сервер сделан из десктопных
комлектующих, то и выбора нет - нужно выключать.
Даже не в том дело, что загорится, а в том что любят пожарные во
всем "неисправную электропроводку" обвинять.
А так - нет особой разницы.
"Сервер" "в углу помещения", даже непрерывно работающий, реже
выходит из строя, по двум причинам:
1. В него вентилятором затягивает меньше всякой фигни, т. к. рядом
никого нет.
2. Отчасти поэтому электромеханики реже льют в его вентиляторы
низкотемпературное масло, после которого вентилятор больше года не
вертится.
По крайней мере это справедливо для нашей конторы.
Один из последних целым и невредимым остался "сервер", на базе P233
на котором крутится foxbase с 1998 года.
Выключался за все время раз пять для профилактики.
Aleksandr Boltris пишет:
>> Что посоветуете - пусть себе крутится 24/7 или попросить людей когда
>> домой
>> уходят клацать на нём кнопочку power чтоб отключался и не гонял воздух
>> почём зря по ночам на выходных и праздниках.
>
>
> Если UPS имеется -- можно и не выключать... Скачек напряжения во время
> записи файла может сильно испортить настроение...
>
Смотря какой UPS.
"Обычные" UPS'ы, вообще-то, от скачков напряжения не спасают...
См., например, книгу А.А.Лопухина "ИСТОЧНИКИ БЕСПЕРЕБОЙНОГО ПИТАНИЯ
БЕЗ СЕКРЕТОВ"
Gennadiy Redko пишет: > Aleksandr Boltris пишет: >>> Что посоветуете - пусть себе крутится 24/7 или попросить людей когда >>> домой >>> уходят клацать на нём кнопочку power чтоб отключался и не гонял воздух >>> почём зря по ночам на выходных и праздниках. >> >> Если UPS имеется -- можно и не выключать... Скачек напряжения во время >> записи файла может сильно испортить настроение... >> > Смотря какой UPS. > "Обычные" UPS'ы, вообще-то, от скачков напряжения не спасают... > > См., например, книгу А.А.Лопухина "ИСТОЧНИКИ БЕСПЕРЕБОЙНОГО ПИТАНИЯ > БЕЗ СЕКРЕТОВ" В соседней рассылке тоже было обсуждение по этому поводу: http://lists.altlinux.org/pipermail/hardware/2006-July/009015.html
Artem Zolochevskiy wrote:
> Sergey wrote:
>
>> Всё же, если не затруднит6 покажите вывод
>> 'sudo /usr/sbin/dovecot -n'
>>
>
> # dovecot -n
> # /etc/dovecot/dovecot.conf
> log_timestamp: %Y-%m-%d %H:%M:%S
> protocols: imap
> listen: 192.168.14.1
> disable_plaintext_auth: no
> login_dir: /var/run/dovecot/login
> login_executable: /usr/lib/dovecot/imap-login
> mail_extra_groups: mail
> mail_location: mbox:~/mail/:INBOX=/var/mail/%u
> auth default:
> passdb:
> driver: pam
> userdb:
> driver: passwd
>
>
Так как mbox указывает на ~/mail/, для "бездомного" у вас получается
/dev/null/mail/, что dovecot и пытается для вас сделать.
Очевидно что надо для его рабочих файлов, создаваемых для каждого
пользователя, указать другое, менее "тесное" место. Например,
---
mail_location = mbox:/var/spool/.imap/%u:INBOX=/var/mail/%u
---
Однако вы написали в одном из предыдущих своих писем, что хотите, чтобы
пользователи-домохозяева имели свою почтовую директорию у себя дома, то
есть в mbox:~/mail/
С dovecot'ом это очень просто, надо ему задать default namespace. Так
как namespaces не имеют никакого отношения к протоколу POP3, а только к
IMAP, то заданный там location переопределит mail_location для входящих
по IMAP, но не переопределит для входящих по POP3.
На всякий случай я напишу конкретный пример того, как задать namespace:
---
namespace private {
prefix =
location = mbox:~/mail:INBOX=/var/mail/%u
inbox = yes
}
---
С уважением,
Сергей.
sergey ivanov wrote:
> Artem Zolochevskiy wrote:
>> Sergey wrote:
>>
>>> Всё же, если не затруднит6 покажите вывод
>>> 'sudo /usr/sbin/dovecot -n'
>>>
>>
>> # dovecot -n
>> # /etc/dovecot/dovecot.conf
>> log_timestamp: %Y-%m-%d %H:%M:%S
>> protocols: imap
>> listen: 192.168.14.1
>> disable_plaintext_auth: no
>> login_dir: /var/run/dovecot/login
>> login_executable: /usr/lib/dovecot/imap-login
>> mail_extra_groups: mail
>> mail_location: mbox:~/mail/:INBOX=/var/mail/%u
>> auth default:
>> passdb:
>> driver: pam
>> userdb:
>> driver: passwd
>>
>>
> Так как mbox указывает на ~/mail/, для "бездомного" у вас получается
> /dev/null/mail/, что dovecot и пытается для вас сделать.
> Очевидно что надо для его рабочих файлов, создаваемых для каждого
> пользователя, указать другое, менее "тесное" место. Например,
> ---
> mail_location = mbox:/var/spool/.imap/%u:INBOX=/var/mail/%u
> ---
> Однако вы написали в одном из предыдущих своих писем, что хотите, чтобы
> пользователи-домохозяева имели свою почтовую директорию у себя дома, то
> есть в mbox:~/mail/
> С dovecot'ом это очень просто, надо ему задать default namespace. Так
> как namespaces не имеют никакого отношения к протоколу POP3, а только к
> IMAP, то заданный там location переопределит mail_location для входящих
> по IMAP, но не переопределит для входящих по POP3.
> На всякий случай я напишу конкретный пример того, как задать namespace:
> ---
> namespace private {
> prefix =
> location = mbox:~/mail:INBOX=/var/mail/%u
> inbox = yes
> }
Ага! Вот это дело я перепроверю, как только смогу добраться до машинки!
Спасибо за наводку. Я тоже крутился вокруг этого namespace, но видимо
недокрутил где-то :-)
--
Artem Zolochevskiy
Kaliningrad, Russia
JID: az@jabber.org
On Sat, 28 Apr 2007 16:13:10 +0600
Vladimir V. Kamarzin wrote:
> Всё просто. Например, создаём ifaces/{br0,eth0,eth1,eth2}, в ethX оставляем
> только файл options. В br0 пишем в options type=bri и HOST='eth0 eth1 eth2'
> в файл brctl пишем инструкции для brctl, например stp auto on. В файл
> ipv4address как обычно пишем ip в формате CIDR.
А wpa_supplicant для WiFi в случае моста неприемлем? За исключением этого
все прочее вроде бы так и было. Но не срослось. Кривыми ручками тоже
попробовал.
К сожалению, тестовую железяку уже вернул, второй подход к снаряду
планируется чуть попозже.
--
Китайкин Анатолий Константинович
ОАО "Радиоавионика", СПб
sergey ivanov wrote:
> Artem Zolochevskiy wrote:
>> Sergey wrote:
>>
>>> Всё же, если не затруднит6 покажите вывод
>>> 'sudo /usr/sbin/dovecot -n'
>>>
>>
>> # dovecot -n
>> # /etc/dovecot/dovecot.conf
>> log_timestamp: %Y-%m-%d %H:%M:%S
>> protocols: imap
>> listen: 192.168.14.1
>> disable_plaintext_auth: no
>> login_dir: /var/run/dovecot/login
>> login_executable: /usr/lib/dovecot/imap-login
>> mail_extra_groups: mail
>> mail_location: mbox:~/mail/:INBOX=/var/mail/%u
>> auth default:
>> passdb:
>> driver: pam
>> userdb:
>> driver: passwd
>>
>>
> Так как mbox указывает на ~/mail/, для "бездомного" у вас получается
> /dev/null/mail/, что dovecot и пытается для вас сделать.
> Очевидно что надо для его рабочих файлов, создаваемых для каждого
> пользователя, указать другое, менее "тесное" место. Например,
> ---
> mail_location = mbox:/var/spool/.imap/%u:INBOX=/var/mail/%u
> ---
> Однако вы написали в одном из предыдущих своих писем, что хотите, чтобы
> пользователи-домохозяева имели свою почтовую директорию у себя дома, то
> есть в mbox:~/mail/
> С dovecot'ом это очень просто, надо ему задать default namespace. Так
> как namespaces не имеют никакого отношения к протоколу POP3, а только к
> IMAP, то заданный там location переопределит mail_location для входящих
> по IMAP, но не переопределит для входящих по POP3.
> На всякий случай я напишу конкретный пример того, как задать namespace:
> ---
> namespace private {
> prefix =
> location = mbox:~/mail:INBOX=/var/mail/%u
> inbox = yes
> }
итак. для истории.
в итоге сделал так
mail_location = mbox:/var/spool/pop/%u:INBOX=/var/mail/%u
и
namespace private {
prefix =
location = mbox:~/mail:INBOX=/var/mail/%u
inbox = yes
}
только после этого заработало как я хотел
pop пользователи (в passwd - бездомные) однако хоть что-то им пришлось дать
в dovecot.conf для домика (/var/spool/pop/%u) - иначе deovecot волобще
отказывается работать с pop :(
imap пользователи (в passwd - с домом) - берутся настройки из namespace
итак делаем вывод
dovecot+pop+mbox+homeless users(в passwd) всё равно не заставить работать
пока не дать хоть что-то в качестве домиков в dovecоt.conf
popa3d+mbox+homeless users(в passwd) - работает просто из коробки
но я всё равно сделал выбор в пользу dovecot - нравится он мне :-)
Сергей, спасибо!
--
Artem Zolochevskiy
Kaliningrad, Russia
JID: az@jabber.org
hi all вопрос на уточнение. я правильно понимаю, что если сет. интерфейс поднимается ПОСЛЕ того как стартует служба, то при желании воспользоваться этой службой на данном интерфейсе, её придется рестартануть после поднятия интерфейса. Конкретно речь идёт о bluetooth (bnep) -- Artem Zolochevskiy Kaliningrad, Russia JID: az@jabber.org
On Sat, May 05, 2007 at 07:51:31PM +0300, Artem Zolochevskiy wrote: > вопрос на уточнение. я правильно понимаю, что если сет. > интерфейс поднимается ПОСЛЕ того как стартует служба, то при > желании воспользоваться этой службой на данном интерфейсе, её > придется рестартануть после поднятия интерфейса. Конкретно > речь идёт о bluetooth (bnep) Необязательно, если что-то слушает на 0.0.0.0 или заранее знает один из адресов, которые будут на поднятом интерфейсе -- услышит. Был изрядно озадачен, когда заметил, что в vserver-1.x IPROOT ни грамма не мешает vsftpd повеситься сразу на реальный IP -- при условии, что тот был явно указан в мигрированной конфигурации. -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/
[-- Attachment #1: Type: text/plain, Size: 430 bytes --] * Шенцев Алексей Владимирович <ashen@> [070428 16:01]: > Такое не устравивает. Надо именно копирование входящего > почтового трафикак один в один, как есть. Это невозможно в принципе для таких протоколов, как SMTP. Почему - подумайте сами ;-) -- Regards, Alexey I. Froloff AIF5-RIPN, AIF5-RIPE ------------------------------------------- Inform-Mobil, Ltd. System Administrator http://www.inform-mobil.ru/ [-- Attachment #2: Digital signature --] [-- Type: application/pgp-signature, Size: 189 bytes --]
[-- Attachment #1: Type: text/plain, Size: 226 bytes --] Привет! Есть-ли среди читающих рассылку, люди, которым доводилось настраивать автономную систему (покупать ip-адреса, строить роутинг... ) и.т.д. Если да пожалуста откликнитесь, не знаю с чего начать... -- Denis Kuznetsov [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
Denis Kuznetsov пишет: > Привет! > Есть-ли среди читающих рассылку, люди, которым доводилось настраивать > автономную систему (покупать ip-адреса, строить роутинг... ) и.т.д. > > Если да пожалуста откликнитесь, не знаю с чего начать... > Вот это: http://www.opennet.ru/openforum/vsluhforumID6/8915.html не поможет?
Denis Kuznetsov wrote: > Привет! > Есть-ли среди читающих рассылку, люди, которым доводилось настраивать > автономную систему (покупать ip-адреса, строить роутинг... ) и.т.д. > > Если да пожалуста откликнитесь, не знаю с чего начать... http://www.ripe.net/membership/ -- WBR, Dmitry Lebkov
Denis Kuznetsov wrote: > Привет! > Есть-ли среди читающих рассылку, люди, которым доводилось настраивать > автономную систему (покупать ip-адреса, строить роутинг... ) и.т.д. > > Если да пожалуста откликнитесь, не знаю с чего начать... > > ------------------------------------------------------------------------ > > _______________________________________________ > Sysadmins mailing list > Sysadmins@lists.altlinux.org > https://lists.altlinux.org/mailman/listinfo/sysadmins > http://www.colocall.net/for_isp.html
On Tuesday 08 May 2007, Denis Kuznetsov wrote:
> Если да пожалуста откликнитесь, не знаю с чего начать...
Наверное, с начала... ;-)
О чём речь ? Это для организации какой-то, или речь про сервис-провайдера,
который перерос момент работы на чужих адресах ?
--
С уважением, Сергей
a_s_y@sama.ru
Artem Zolochevskiy wrote: > hi all > > в одну малюсенькую организацию поставил samba (1с базы) на отдельную машинку > (обыкновенный miditower стоящий в уголке помещения). > > Что посоветуете - пусть себе крутится 24/7 или попросить людей когда домой > уходят клацать на нём кнопочку power чтоб отключался и не гонял воздух > почём зря по ночам на выходных и праздниках. > По этому поводу была забавная статья: http://www.balabanovo.net/?p=11#more-11
[-- Attachment #1: Type: text/plain, Size: 191 bytes --] привет! Спасибо, что откликнулись. Очень интересна ситуация с 2-мя и более площадками, Нужно для каждой АС регистрировать или как-то хитро можно одну, скажем /22 на более мелкие поделить??? [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
On Thursday 10 May 2007, Denis Kuznetsov wrote: > Спасибо, что откликнулись. > Очень интересна ситуация с 2-мя и более площадками, > Нужно для каждой АС регистрировать или как-то хитро можно > одну, скажем /22 на более мелкие поделить??? AS - это AS. А блок адресов - это блок адресов. Их связь задаётся через объект route. Сам по себе, этот объект не имеет отношения к работе BGP, но на основании его могут делаться фильтры и делаются, как правило, особенно, у магистральных провайдеров. Если площадки не имеют прямого канала между собой, то одной AS не обойдёшься, но /22 можно разбить и на две AS. Но это, опять-таки, с точки зрения BGP. А есть вот такой документ: https://www.ripe.net/ripe/docs/ripe-ncc-managed-address-space.html Фактически, блоки менее Longest Prefix в соответствующих диапазонах могут фильтроваться. Хотя вот в России, вроде бы, никто не фильтрует. Ещё вопрос с железкой. Для анонса BGP много не надо, а вот для работы с исходящим трафиком идеален вариант с приёмом полной таблицы с каждого канала. Сейчас таблица ~218K маршрутов. В принципе, можно решить вопрос с помощью Куагги/Зебры, но надёжность такого решения вряд ли годится для обеспечения предоставления сервиса всем клиентам (имеется ввиду роутер, от которого зависит работа всей хостинг-площадки)... Персонально кому-то дальше отдать - это ещё может быть. -- С уважением, Сергей a_s_y@sama.ru
Есть машинка с софтрейдом из 2 сата-винтов в зеркало. вернее 2 md девайса (зеркалка чисто). так вот -при копировании с 1 мд на другой оччень хороший iowait avg-cpu: %user %nice %system %iowait %steal %idle 1,20 0,00 6,90 45,52 0,00 46,37 Device: tps Blk_read/s Blk_wrtn/s Blk_read Blk_wrtn sda 249,05 20733,67 42706,09 207544 427488 sdb 242,16 13826,97 42707,69 138408 427504 md0 533,17 34548,65 7,19 345832 72 md1 0,00 0,00 0,00 0 0 md2 0,00 0,00 0,00 0 0 md3 5322,18 0,00 42577,42 0 426200 hdparm -t /dev/sda сказал Timing buffered disk reads: 174 MB in 3.02 seconds = 57.60 MB/sec gamezone:/opt/srv# cat /proc/cpuinfo processor : 0 vendor_id : GenuineIntel cpu family : 15 model : 6 model name : Intel(R) Pentium(R) D CPU 3.00GHz .... можно чтото с этим поделать, кроме как купить норм рейд?
Anton Farygin пишет:
>Artem Zolochevskiy wrote:
>
>
>>hi all
>>
>>в одну малюсенькую организацию поставил samba (1с базы) на отдельную машинку
>>(обыкновенный miditower стоящий в уголке помещения).
>>
>>Что посоветуете - пусть себе крутится 24/7 или попросить людей когда домой
>>уходят клацать на нём кнопочку power чтоб отключался и не гонял воздух
>>почём зря по ночам на выходных и праздниках.
>>
>>
>>
>Горький опыт показал - при грозе вылетает НЕ_РАБОТАЮЩЕЕ_ОБОРУДОВАНИЕ и имеющее гальваническую связь с какими-либо сетями (електрическими, витой парой, модем-телефонная пара). По этому, чтобы защититься от грозы необходимо ставить защиту от перенапряжения "во вседыры" (соединения). Выключение компбютера не дает ни какой гарантии выжить. В нашей конторе при грозе вылетели все сетевухи на не работающих машинах :-(
>
>
10 мая 2007 г. Sergey написал:
>В принципе, можно решить вопрос с помощью Куагги/Зебры, но надёжность такого
>решения вряд ли годится для обеспечения предоставления сервиса всем клиентам
>(имеется ввиду роутер, от которого зависит работа всей хостинг-площадки)...
1-2 Full table может принять Cisco 36xx series router с 128M. Иногда - с
оговорками.
Чем низка надежность Zebra/Quagga? ;)
Знаю только о проблемах, когда:
- Zebra не может/не успевает менять таблицу маршрутов в ядре;
- процесс прибивается ядром (kernel: VM: killing process bgpd), т.к. занимает
слишком много памяти. Тут уж нужно сделать так, чтобы он рестартовал.
PS: Для большинства ситуаций AS НЕ НУЖНА.
--
ABATAPA
[-- Attachment #1: Type: text/plain, Size: 212 bytes --] Понятно, спасибо.... А кстати, если сравнить zebra/quagga с openbgpd? Понимаю, что вроде как все линукс админы, но вдруг, кто-то это чудо видел... С падениями думаю monit помочь, сможет.... -- Denis Kuznetsov [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
On Thursday 10 May 2007, ABATAPA wrote: > 1-2 Full table может принять Cisco 36xx series router с 128M. Иногда - с > оговорками. 1 - да, два - уже нет. 128 мало, а более 128 может только 3660. > Чем низка надежность Zebra/Quagga? ;) С ospfd подводит иногда. bgpd в продакшене не пробовал. А Juniper, к примеру, поставил, и забыл... Я впервые, вообще, за 10 лет рабы в структуре isp, увидел железку, которая не вызывает проблем вообще. Поставили в конце апреля продлого года и, с тех пор, не было ни одной необяснимой проблемы. > PS: Для большинства ситуаций AS НЕ НУЖНА. Это самы идеологически правильный путь. :-) -- С уважением, Сергей a_s_y@sama.ru
10 мая 2007 г. Sergey написал: > On Thursday 10 May 2007, ABATAPA wrote: > 1 - да, два - уже нет. 128 мало, а более 128 может только 3660. Ну, принимает же. Нужно только чуть руки приложить... > С ospfd подводит иногда. bgpd в продакшене не пробовал. А Juniper, к > примеру, поставил, и забыл... Я впервые, вообще, за 10 лет рабы в структуре > isp, увидел железку, которая не вызывает проблем вообще. Поставили в конце > апреля продлого года и, с тех пор, не было ни одной необяснимой проблемы. Видимо, до этого немного видеть приходилось. ;) > Это самы идеологически правильный путь. :-) Не самый. Читайте рекомендации RIPE. -- ABATAPA
On Friday 11 May 2007, ABATAPA wrote: > > 1 - да, два - уже нет. 128 мало, а более 128 может только 3660. > Ну, принимает же. Нужно только чуть руки приложить... И как приложить ? Маршруты агрегировать/выкидывать ? > > С ospfd подводит иногда. bgpd в продакшене не пробовал. А Juniper, к > > примеру, поставил, и забыл... Я впервые, вообще, за 10 лет рабы в структуре > > isp, увидел железку, которая не вызывает проблем вообще. Поставили в конце > > апреля продлого года и, с тех пор, не было ни одной необяснимой проблемы. > Видимо, до этого немного видеть приходилось. ;) Ну, в общем, да. Cisco и Nortel. Маршрутизаторов других производителей не было. > > Это самы идеологически правильный путь. :-) > Не самый. Читайте рекомендации RIPE. Ссылку в конкретное место можно ? У них их там вагон. :-) -- С уважением, Сергей a_s_y@sama.ru
On Thursday 10 May 2007, Denis Kuznetsov wrote:
> С падениями думаю monit помочь, сможет....
Я бы не стал на это рассчитывать. Падающий BGP - это не самый лучший
момент в работе АС. Если это, действительно, будет аварийная ситуация
от случая к случаю, ещё туда-сюда, но не надо, чтобы это принимало
регулярный характер.
--
С уважением, Сергей
a_s_y@sama.ru
[-- Attachment #1: Type: text/plain, Size: 527 bytes --] В сообщении от Thursday 10 May 2007 21:14:36 Sergey написал(а): > On Thursday 10 May 2007, ABATAPA wrote: > > 1-2 Full table может принять Cisco 36xx series router с 128M. Иногда - с > > оговорками. > > 1 - да, два - уже нет. 128 мало, а более 128 может только 3660. > Судя по-всему 36xx серии уже только б/у купить можно. а 3845 говорят ситуацию вполне спасает, только по полиси конторы, их нужно 2 (для надежности), потому приходится искать софтовую замену на ближайший год (бюджет уже расписали) :( -- Denis Kuznetsov [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
11 мая 2007 г. Sergey написал: > И как приложить ? Маршруты агрегировать/выкидывать ? Как минимум. > > Ссылку в конкретное место можно ? У них их там вагон. :-) Вот именно потому конкретную ссылку не дал. Словом, конечным пользователям AS нужна далеко не всем и не всегда. Порою достаточно PI для сохранения "независимости". А вот провайдерам AS, часто, бывает необходима. Вместе с LIR. -- ABATAPA
On Friday 11 May 2007, ABATAPA wrote: > > И как приложить ? Маршруты агрегировать/выкидывать ? > Как минимум. Это не всегда удобно... > Словом, конечным пользователям AS нужна далеко не всем и не всегда. Порою > достаточно PI для сохранения "независимости". Речь о резервировании, если я правильно понял, и одновременной работе более одного канала. > А вот провайдерам AS, часто, бывает необходима. Вместе с LIR. LIR, как я понял из того, что написано, в данном случае не надо. -- С уважением, Сергей a_s_y@sama.ru
В сообщении от 5 мая 2007 20:51 Artem Zolochevskiy написал(a):
> hi all
>
> вопрос на уточнение.
> я правильно понимаю, что если сет. интерфейс поднимается ПОСЛЕ того как
> стартует служба, то при желании воспользоваться этой службой на данном
> интерфейсе, её придется рестартануть после поднятия интерфейса.
> Конкретно речь идёт о bluetooth (bnep)
Я создал еще 1 виртуальный интерфейс, сделал на нем бридж, на бридж - службу,
а при поднятии bnep интерфейса добавлял его в бридж.
--
С уважением, Артем Пастухов
artem (at) mxk-m (dot) ru
[-- Attachment #1: Type: text/plain, Size: 831 bytes --] А если более жестко: есть 2 площадки, боевая и резервная. пул адресов, скажем так /22 позволено-ли мне включится к двум провам, с этим пулом. то есть, если одна площадка, умерла, я автоматически переключаюсь на вторую. или такие извраты не допустимы? В сообщении от Friday 11 May 2007 14:32:32 Sergey написал(а): > On Friday 11 May 2007, ABATAPA wrote: > > > И как приложить ? Маршруты агрегировать/выкидывать ? > > > > Как минимум. > > Это не всегда удобно... > > > Словом, конечным пользователям AS нужна далеко не всем и не всегда. Порою > > достаточно PI для сохранения "независимости". > > Речь о резервировании, если я правильно понял, и одновременной работе более > одного канала. > > > А вот провайдерам AS, часто, бывает необходима. Вместе с LIR. > > LIR, как я понял из того, что написано, в данном случае не надо. [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
11 мая 2007 г. Denis Kuznetsov написал: > А если более жестко: > есть 2 площадки, боевая и резервная. Имеет смысл, по возможности, делать балансировку. > пул адресов, скажем так /22 > позволено-ли мне включится к двум провам, с этим пулом. Смотря чьи и какие это адреса. Если они PA, то они "привязаны" к тому, кому были выданы. > то есть, если одна площадка, умерла, я автоматически переключаюсь на > вторую. или такие извраты не допустимы? Что значит "я автоматически переключаюсь"? Куда Вы переключаетесь? BGP может обеспечить работу ОДНОЙ точки с несколькими подключениями. Теоретически, можно сделать и так, что при падении канала к одной точки вторая начнет анонсировать то же самое пространство, и из мира станет видна именно вторая точка, или, как вариант, они могут онансироваться одновременно (multi-home). При этом адресное пространство в одной и другой точке может совпадать, и тогда в DNS не нужно будет вносить изменения. Разумеется, проблемы оригинальности и связанности нужно будет как-то решать. -- ABATAPA
On Saturday 12 May 2007, ABATAPA wrote:
> Теоретически, можно сделать и так, что при падении канала к одной точки вторая
> начнет анонсировать то же самое пространство, и из мира станет видна именно
> вторая точка, или, как вариант, они могут онансироваться одновременно
> (multi-home).
Вообще термин multi-home относится к ситуации "более одного BGP peer", а "не
две разрозненные группы хостов". Будет подразумеваться, что эти две площадки
связаны между собой.
--
С уважением, Сергей
a_s_y@sama.ru
On Friday 11 May 2007, Denis Kuznetsov wrote:
> А если более жестко:
> есть 2 площадки, боевая и резервная.
> пул адресов, скажем так /22
> позволено-ли мне включится к двум провам, с этим пулом.
>
> то есть, если одна площадка, умерла, я автоматически переключаюсь на вторую.
> или такие извраты не допустимы?
Наверное допустимы, если это будет либо/либо. Снаружи это будет выглядеть,
как пропадание анонса в одном месте и появление в другом.
А связать эти две площадки нельзя между собой ?
--
С уважением, Сергей
a_s_y@sama.ru
[-- Attachment #1: Type: text/plain, Size: 809 bytes --] В сообщении от Saturday 12 May 2007 14:53:13 Sergey написал(а): > On Friday 11 May 2007, Denis Kuznetsov wrote: > > А если более жестко: > > есть 2 площадки, боевая и резервная. > > пул адресов, скажем так /22 > > позволено-ли мне включится к двум провам, с этим пулом. > > > > то есть, если одна площадка, умерла, я автоматически переключаюсь на > > вторую. или такие извраты не допустимы? > > Наверное допустимы, если это будет либо/либо. Снаружи это будет выглядеть, > как пропадание анонса в одном месте и появление в другом. О чем-то подобном, сейчас и подумываем... А кстати, сколько времени может происходить переключение если анонс пропал, скажем в Канаде и появился в Англии? > > А связать эти две площадки нельзя между собой ? Пока не известно.. скорее всего только реплика БД через интернет :( [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
On Monday 14 May 2007, Denis Kuznetsov wrote:
> А кстати, сколько времени может происходить переключение если анонс пропал,
> скажем в Канаде и появился в Англии?
Не очень долго. Десятки секунд. Только не следует ещё забывать о том,
что часто дёргающийся маршрут может быть на некоторое время блокирован
на каких-то маршрутизаторах. Рекомендуемые (если есть) или часто используемые
цифры не скажу, самому пока не надо было, но, скажем, 10 дёрганий за 30 минут,
и на пару часов в фильтр.
--
С уважением, Сергей
a_s_y@sama.ru
On Monday 14 May 2007, Sergey wrote:
> Не очень долго. Десятки секунд. Только не следует ещё забывать
И ещё про механизм пропадания старого анонса. То есть, от способа
разрыва bgp peer на отвалившейся площадке. Если там разрыв по
таймауту будет, что весьма вероятно, то до момента снятия анонса
маршрутизатором провайдера тоже пройдёт некоторое время. Как правило,
таймаут 2 минуты делают.
--
С уважением, Сергей
a_s_y@sama.ru
12 мая 2007 г. Sergey написал:
> Вообще термин multi-home относится к ситуации "более одного BGP peer", а
> "не две разрозненные группы хостов". Будет подразумеваться, что эти две
> площадки связаны между собой.
Это ничего не меняет. С внешней стороны 2 анонса с одной площадки = 2 анонсам
с двух площадок, и т.д.
--
ABATAPA
12 мая 2007 г. Sergey написал:
> Наверное допустимы, если это будет либо/либо. Снаружи это будет выглядеть,
> как пропадание анонса в одном месте и появление в другом.
Не только либо/либо. Для BGP два анонса с разными/одним приоритетом - норма.
Но вот для "хозяев" этих площадок нужно быть готовыми к тому, что запросы
могут приходить и в первый адрес, и во второй в неравной/равной мере (если в
некий момент анонсы приходят с двух направлений).
--
ABATAPA
On Monday 14 May 2007, ABATAPA wrote:
> > "не две разрозненные группы хостов". Будет подразумеваться, что эти две
> > площадки связаны между собой.
>
> Это ничего не меняет. С внешней стороны 2 анонса с одной площадки = 2 анонсам
> с двух площадок, и т.д.
Для тех, кто снаружи, не меняет, а вот как будет трафик между площадками
ходить, если они обе одновременно в работае будут - это вопрос (хотя, как
тут выяснили, не требуется). Надо BGP обеспечивать между граничными
роутерами площадок.
--
С уважением, Сергей
a_s_y@sama.ru
On Monday 14 May 2007, ABATAPA wrote:
> Но вот для "хозяев" этих площадок нужно быть готовыми к тому, что запросы
> могут приходить и в первый адрес, и во второй в неравной/равной мере
Это и есть проблема "by design". Потому и либо/либо. И вторая проблема - если
диапазон бить на два и анонсить раздельно - тут BGP между площадками потребуется
видимо.
--
С уважением, Сергей
a_s_y@sama.ru
15 мая 2007 г. Sergey написал:
> Для тех, кто снаружи, не меняет, а вот как будет трафик между площадками
> ходить, если они обе одновременно в работае будут - это вопрос (хотя, как
> тут выяснили, не требуется). Надо BGP обеспечивать между граничными
> роутерами площадок.
И в чем проблема?
--
ABATAPA
15 мая 2007 г. Sergey написал:
> Это и есть проблема "by design". Потому и либо/либо. И вторая проблема -
> если диапазон бить на два и анонсить раздельно - тут BGP между площадками
> потребуется видимо.
Так в чем проблема?
--
ABATAPA
On Wednesday 16 May 2007, ABATAPA wrote:
> > Это и есть проблема "by design". Потому и либо/либо. И вторая проблема -
> > если диапазон бить на два и анонсить раздельно - тут BGP между площадками
> > потребуется видимо.
>
> Так в чем проблема?
В устойчивой работе этого нагромождения. Уже многовато факторов, которые
могут негативное влияние оказать.
--
С уважением, Сергей
a_s_y@sama.ru
On Thu, May 10, 2007 at 11:09:33AM +0400, Anton Gorlov wrote: > Есть машинка с софтрейдом из 2 сата-винтов в зеркало. > вернее 2 md девайса (зеркалка чисто). > так вот -при копировании с 1 мд на другой оччень хороший iowait Не думаю, что md настолько умный, чтоб догадаться лить с одного блина на другой, а потом синхронизировать вторые блины. Если у тебя это частая задача -- докинь два отдельных шпинделя под второе зеркало. Если нечастая -- скопируй и выкинь из головы. -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/
Michael Shigorin пишет:
>
> Если у тебя это частая задача -- докинь два отдельных шпинделя
> под второе зеркало. Если нечастая -- скопируй и выкинь из
> головы.
Так и сделал... стало лучше..
On Mon, Apr 30, 2007 at 11:14:12AM +0300, Artem Zolochevskiy wrote: > в одну малюсенькую организацию поставил samba (1с базы) на > отдельную машинку (обыкновенный miditower стоящий в уголке > помещения). > > Что посоветуете - пусть себе крутится 24/7 или попросить людей > когда домой уходят клацать на нём кнопочку power Только придётся проинструктировать тогда -- "НАЖАЛИ И ОТПУСТИЛИ". У некоторых "нажать" -- это именно "нажать, пока что-то не произойдёт"... > чтоб отключался и не гонял воздух почём зря по ночам на > выходных и праздниках. Зависит. По моей и виденной/слышанной практике: Выключать: + дольше прослужат вентиляторы + экономия электроэнергии + несколько безопаснее + более подконтрольно в случае потери питания - надо включать - увеличивается количество запусков электроники и дисков, что для них одна из основных причин отказов Не выключать: - больше шансов на выгорание или возгорание - быстрее сдохнут пропеллеры - ночью электричество превращается только в шум и тепло + всегда готово к работе + диски прослужат дольше PS: если интересно, глянь http://fly.osdn.org.ua/~mike/misc/1c-scripts-20020415.tar.gz -- это не последняя версия, но бэкапилка именно на случай выключаемой на ночь самбиной машинки под 1с была адаптивной. Машинка с год назад ещё работала на всё том же Spring 2001. :) (и samba-2.2, что для этой задачи лучше samba3 IMHO) -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/
Здравствуйте, Denis.
Вы писали пятница 11 мая 2007 г., 11:36:19:
DK> В сообщении от Thursday 10 May 2007 21:14:36 Sergey написал(а):
>> On Thursday 10 May 2007, ABATAPA wrote:
>> > 1-2 Full table может принять Cisco 36xx series router с 128M. Иногда - с
>> > оговорками.
>>
>> 1 - да, два - уже нет. 128 мало, а более 128 может только 3660.
>>
DK> Судя по-всему 36xx серии уже только б/у купить можно.
DK> а 3845 говорят ситуацию вполне спасает, только по полиси конторы,
DK> их нужно 2 (для надежности), потому приходится искать софтовую замену
DK> на ближайший год (бюджет уже расписали)
А Cisco 2691 ? Насколько я помню, этот маршрутизатор в последние
год-два шел со 256Мб ОЗУ в стандартной поставке.
И для 2 Full Table этого вполне достаточно.
--
С уважением,
Dank
Здравствуйте, Denis. Вы писали пятница 11 мая 2007 г., 21:29:31: DK> А если более жестко: DK> есть 2 площадки, боевая и резервная. DK> пул адресов, скажем так /22 DK> позволено-ли мне включится к двум провам, с этим пулом. DK> то есть, если одна площадка, умерла, я автоматически переключаюсь на вторую. DK> или такие извраты не допустимы? А если более конкретно? Зачем вам такой большой блок адресов на территориально разнесенных площадках? (Это если еще исключать бОльшую возню для получения такого блока). Насколько я понял, необходимо обеспечить бесперебойный доступ к БД или сайту, основанному на ней? Или что-то другое? -- С уважением, Dank
[-- Attachment #1: Type: text/plain, Size: 866 bytes --] В сообщении от Wednesday 16 May 2007 20:31:20 Dank Bagryantsev написал(а): > Здравствуйте, Denis. > > Вы писали пятница 11 мая 2007 г., 21:29:31: > > DK> А если более жестко: > DK> есть 2 площадки, боевая и резервная. > DK> пул адресов, скажем так /22 > DK> позволено-ли мне включится к двум провам, с этим пулом. > > DK> то есть, если одна площадка, умерла, я автоматически переключаюсь на > вторую. DK> или такие извраты не допустимы? > > А если более конкретно? Зачем вам такой большой блок адресов на > территориально разнесенных площадках? (Это если еще исключать бОльшую > возню для получения такого блока). > > Насколько я понял, необходимо обеспечить бесперебойный доступ к БД или > сайту, основанному на ней? > Или что-то другое? хостинг, и сайт там будет далеко не один. :) а что касается возни, то заниматься этим будут другие. :) -- Denis Kuznetsov [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
[-- Attachment #1: Type: text/plain, Size: 1005 bytes --] В сообщении от Wednesday 16 May 2007 19:45:37 Dank Bagryantsev написал(а): > Здравствуйте, Denis. > > Вы писали пятница 11 мая 2007 г., 11:36:19: > > DK> В сообщении от Thursday 10 May 2007 21:14:36 Sergey написал(а): > >> On Thursday 10 May 2007, ABATAPA wrote: > >> > 1-2 Full table может принять Cisco 36xx series router с 128M. Иногда - > >> > с оговорками. > >> > >> 1 - да, два - уже нет. 128 мало, а более 128 может только 3660. > > DK> Судя по-всему 36xx серии уже только б/у купить можно. > DK> а 3845 говорят ситуацию вполне спасает, только по полиси конторы, > DK> их нужно 2 (для надежности), потому приходится искать софтовую замену > DK> на ближайший год (бюджет уже расписали) > > А Cisco 2691 ? Насколько я помню, этот маршрутизатор в последние > год-два шел со 256Мб ОЗУ в стандартной поставке. > И для 2 Full Table этого вполне достаточно. А часом не загнется-ли проц на 2691 при 100МБит ??? 2621-xm не очень хорошо при таком трафике себя чуствовал ... :( -- Denis Kuznetsov [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
Вопрос к москвичам. Сеть Комкор закидала наш дом листовками с приглашениями подключиться к Интернет по ценам вдвое ниже, чем у Стрим. Хотелось бы знать, есть ли реальный опыт работы с кабельными модемами. Самое главное в этом вопросе, насколько хорошо работает поддержка? Если они на любой вопрос реагируют советами отключи межсетевой экран, поставь Винду вместо Линукса, то пусть идут лесом. Вот как Медведев брякнул, так стыдоба. Так глупо раскрыться! А ведь даже надежды подавал... -- С уважением, С.С.Скулаченко
У меня год комкор, от стрима отказался.
Никаких проблем с модемом нет, он как мост пашет. Виснет очень редко когда кошки
блок питания задевают. :)
Вообще, если вам не нужна локалка - комкор лучший выбор, имхо.
В поддержку звонил только если были какие то глобальные аварии на район, такое было
раза 3-4. Дозваниваться долго как и у всех.
On Fri, 18 May 2007 13:21:20 +0400
Sergey S. Skulachenko wrote:
> Вопрос к москвичам.
> Сеть Комкор закидала наш дом листовками с приглашениями
> подключиться к Интернет по ценам вдвое ниже, чем у Стрим.
> Хотелось бы знать, есть ли реальный опыт работы с кабельными
> модемами. Самое главное в этом вопросе, насколько хорошо
> работает поддержка? Если они на любой вопрос реагируют советами
> отключи межсетевой экран, поставь Винду вместо Линукса, то пусть
> идут лесом.
> Вот как Медведев брякнул, так стыдоба. Так глупо раскрыться! А
> ведь даже надежды подавал...
>
> --
> С уважением,
> С.С.Скулаченко
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins
On Fri, 18 May 2007 16:39:43 +0400 Alex wrote: > У меня год комкор, от стрима отказался. > Никаких проблем с модемом нет, он как мост пашет. Это как раз очень устраивает. Adsl-модем у меня так же включён, а роль маршрутизатора в локальной сети сервер исполняет. Мне так привычно. > Виснет очень редко когда кошки блок питания задевают. :) > Вообще, если вам не нужна локалка - комкор лучший выбор, имхо. -- С уважением, С.С.Скулаченко
Здравствуйте, Denis. Вы писали пятница 18 мая 2007 г., 11:06:41: DK> В сообщении от Wednesday 16 May 2007 19:45:37 Dank Bagryantsev написал(а): >> Здравствуйте, Denis. >> >> Вы писали пятница 11 мая 2007 г., 11:36:19: >> >> DK> В сообщении от Thursday 10 May 2007 21:14:36 Sergey написал(а): >> >> On Thursday 10 May 2007, ABATAPA wrote: >> >> > 1-2 Full table может принять Cisco 36xx series router с 128M. Иногда - >> >> > с оговорками. >> >> >> >> 1 - да, два - уже нет. 128 мало, а более 128 может только 3660. >> >> DK> Судя по-всему 36xx серии уже только б/у купить можно. >> DK> а 3845 говорят ситуацию вполне спасает, только по полиси конторы, >> DK> их нужно 2 (для надежности), потому приходится искать софтовую замену >> DK> на ближайший год (бюджет уже расписали) >> >> А Cisco 2691 ? Насколько я помню, этот маршрутизатор в последние >> год-два шел со 256Мб ОЗУ в стандартной поставке. >> И для 2 Full Table этого вполне достаточно. DK> А часом не загнется-ли проц на 2691 при 100МБит ??? DK> 2621-xm не очень хорошо при таком трафике себя чуствовал ... На 2691 другой процессор, чем на остальной 2600-серии и соответственно: цитата с http://www.cisco.com/en/US/products/hw/routers/ps259/products_tech_note09186a0080094e92.shtml Platform Throughput (max, fast-switching) 2610-12 15 K packets per second (pps) 2620/21 25 K pps 2650/51 37 K pps 2610/11XM 20 K pps 2620/21XM 30 K pps 2650/51XM 40 K pps 2691 70 K pps можно в какой-то мере сравнить с 3600-серией: цитата с http://www.cisco.com/en/US/products/hw/routers/ps274/products_tech_note09186a00801e1155.shtml Platform Process Fast 3620 2,000 pps 20,000-40,000 pps 3640 4,000 pps 50,000-70,000 pps 3660 10,000-12,000 pps 100,000-120,000 pps -- С уважением, Dank
[-- Attachment #1: Type: text/plain, Size: 883 bytes --] В сообщении от Sunday 20 May 2007 01:46:16 Dank Bagryantsev написал(а): > > На 2691 другой процессор, чем на остальной 2600-серии и соответственно: > цитата с > http://www.cisco.com/en/US/products/hw/routers/ps259/products_tech_note0918 >6a0080094e92.shtml Platform Throughput (max, fast-switching) > 2610-12 15 K packets per second (pps) > 2620/21 25 K pps > 2650/51 37 K pps > 2610/11XM 20 K pps > 2620/21XM 30 K pps > 2650/51XM 40 K pps > 2691 70 K pps > > можно в какой-то мере сравнить с 3600-серией: > цитата с > http://www.cisco.com/en/US/products/hw/routers/ps274/products_tech_note0918 >6a00801e1155.shtml Platform Process Fast > 3620 2,000 pps 20,000-40,000 pps > 3640 4,000 pps 50,000-70,000 pps > 3660 10,000-12,000 pps 100,000-120,000 pps Упс... Таки недоглядел, сорри. :) -- Denis Kuznetsov [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
Здравствуйте! А каким образом делается перенаправление звука с терминал-сервера на терминальную звуковую карту? Интересуют решения для branch-4.0 и для Windows 2000/2003 в качестве терминал-сервера, клиент - желательно branch-4.0 -- С уважением, Прокопьев Евгений
Eugene Prokopiev пишет:
> Здравствуйте!
>
> А каким образом делается перенаправление звука с терминал-сервера на
> терминальную звуковую карту? Интересуют решения для branch-4.0 и для
> Windows 2000/2003 в качестве терминал-сервера, клиент - желательно
> branch-4.0
>
Для win - средствами rdp5 aka rdesktop. Только оно умеет цепляться
только на oss, так-что modprobe snd-pcm-oss вам в помощь. :)
Здравствуйте, Ivan. Вы писали 21 мая 2007 г., 18:23:09: > Eugene Prokopiev пишет: >> Здравствуйте! >> >> А каким образом делается перенаправление звука с терминал-сервера на >> терминальную звуковую карту? Интересуют решения для branch-4.0 и для >> Windows 2000/2003 в качестве терминал-сервера, клиент - желательно >> branch-4.0 >> > Для win - средствами rdp5 aka rdesktop. Только оно умеет цепляться > только на oss, так-что modprobe snd-pcm-oss вам в помощь. :) > _______________________________________________ > Sysadmins mailing list > Sysadmins@lists.altlinux.org > https://lists.altlinux.org/mailman/listinfo/sysadmins возможно NAS http://radscan.com/nas.html,если встроенного потокового сервера не хватит. на http://apps.intra-links.com/ есть порт под WIN . сам,увы,не пробовал. Удачи! -- С уважением, smont mailto:smont@mail.ru
Здравствуйте! Извините что пишу сюда, но другой рассылке мне сейчас трудно найти. Проблема воспроизводится и на SUSE10.0 с ядром 2.6.13 и на Fedora 6 с ядром 2.6.18, после некоторой работы сервера под этими ОС перестают грузиться модули ядра. modprobe вываливается с FATAL: could't find module, так-же и по полному пути к модулю (модуль точно есть). modinfo тоже не находит модулей, а вот по полному пути информацию выводит. При старте не грузятся xfs, 8139too и т. д. и сервер почти не работает. Сейчас доступ к серверу только через KVM, ошибки есть в dmesg на ata1 (http://www.anastasia.ru/greg/kvm_device_error.jpg), вроде других ошибок нет. Кто может быть сталкивался, подскажите что делать? Почему не грузятся модуди? Помогите пожалуйста :) -- Всего наилучшего! Григорий greg [at] anastasia [dot] ru Письмо отправлено: 2007/05/23 13:18
Hello Konstantin A. Lepikhov!
On Wed, 23 May 2007 13:47:37 +0400 (MSD) you wrote:
>
> <цитата от="Grigory Fateyev">
> > Здравствуйте!
> >
> > Извините что пишу сюда, но другой рассылке мне сейчас трудно найти.
> > Проблема воспроизводится и на SUSE10.0 с ядром 2.6.13 и на Fedora 6
> > с ядром 2.6.18, после некоторой работы сервера под этими ОС
> > перестают грузиться модули ядра. modprobe вываливается с FATAL:
> > could't find module, так-же и по полному пути к модулю (модуль
> > точно есть). modinfo тоже не находит модулей, а вот по полному пути
> > информацию выводит. При старте не грузятся xfs, 8139too и т. д. и
> > сервер почти не работает. Сейчас доступ к серверу только через KVM,
> > ошибки есть в dmesg на ata1
> > (http://www.anastasia.ru/greg/kvm_device_error.jpg), вроде других
> > ошибок нет.
> >
> > Кто может быть сталкивался, подскажите что делать? Почему не
> > грузятся модуди? Помогите пожалуйста :)
> а /lib/modules/<kver>/modules.dep вообще читается?
>
Читается, но он пустой!
--
Всего наилучшего! Григорий
greg [at] anastasia [dot] ru
Письмо отправлено: 2007/05/23 14:02
Hello Konstantin A. Lepikhov!
On Wed, 23 May 2007 14:26:41 +0400 (MSD) you wrote:
>
> <цитата от="Grigory Fateyev">
> <skip>
> >> > Кто может быть сталкивался, подскажите что делать? Почему не
> >> > грузятся модуди? Помогите пожалуйста :)
> >> а /lib/modules/<kver>/modules.dep вообще читается?
> >>
> > Читается, но он пустой!
> есть подозрение, что пустой не только он, но и часть модулей. А с
> кабелями на дисках все в порядке?
>
Support утверждает что мать и провода поменял, сейчас второй hdd
подключили и теперь на ata2 те-же ошибки. А модули xfs и 8139too не
нулевые... Они сейчас больше всего нужны!
И как бы вы поступили в такой ситуации?
Спасибо за помощь!
--
Всего наилучшего! Григорий
greg [at] anastasia [dot] ru
Письмо отправлено: 2007/05/23 14:43
Hello Grigory Fateyev!
On Wed, 23 May 2007 14:50:02 +0400 you wrote:
> Hello Konstantin A. Lepikhov!
> On Wed, 23 May 2007 14:26:41 +0400 (MSD) you wrote:
>
> >
> > <цитата от="Grigory Fateyev">
> > <skip>
> > >> > Кто может быть сталкивался, подскажите что делать? Почему не
> > >> > грузятся модуди? Помогите пожалуйста :)
> > >> а /lib/modules/<kver>/modules.dep вообще читается?
> > >>
> > > Читается, но он пустой!
> > есть подозрение, что пустой не только он, но и часть модулей. А с
> > кабелями на дисках все в порядке?
> >
> Support утверждает что мать и провода поменял, сейчас второй hdd
> подключили и теперь на ata2 те-же ошибки. А модули xfs и 8139too не
> нулевые... Они сейчас больше всего нужны!
>
> И как бы вы поступили в такой ситуации?
>
> Спасибо за помощь!
Через insmod xfs подгрузился, а вот 8139too говорит "-1 Unknown symbol
in module". Как бы хоть сеть поднять?
--
Всего наилучшего! Григорий
greg [at] anastasia [dot] ru
Письмо отправлено: 2007/05/23 15:16
Hello Konstantin A. Lepikhov! On Wed, 23 May 2007 15:35:19 +0400 (MSD) you wrote: > > <цитата от="Grigory Fateyev"> > <skip> > >> Support утверждает что мать и провода поменял, сейчас второй hdd > >> подключили и теперь на ata2 те-же ошибки. А модули xfs и 8139too не > >> нулевые... Они сейчас больше всего нужны! > >> > >> И как бы вы поступили в такой ситуации? > Во-первых, посмотрел версии ядер и есть ли к ним обновления. В suse > что-то исправляли в xfs (поскольку vsu@ этот патчик даже к нам > перетаскивал). Во-вторых, поменял бы контроллер до выяснения причин. xfs сейчас уже не критичен, грузиться через insmod. Жду support скажет насчёт другого контроллера. Сейчас встроенный ICH5 Intel, hdd Samsung. > >> Спасибо за помощь! > > > > Через insmod xfs подгрузился, а вот 8139too говорит "-1 Unknown > > symbol in module". Как бы хоть сеть поднять? > если символ не отпределяется, значит часть зависящих модулей тоже > повреждена. Попробуйте тогда вместо 8139too использовать rtl8139. KVM ограничен, rtl8139 нет в установленном ядре и как туда исходник залить не знаю. -- Всего наилучшего! Григорий greg [at] anastasia [dot] ru Письмо отправлено: 2007/05/23 16:25
[-- Attachment #1: Type: text/plain, Size: 549 bytes --] On Wed, May 23, 2007 at 03:18:39PM +0400, Grigory Fateyev wrote: > Через insmod xfs подгрузился, а вот 8139too говорит "-1 Unknown symbol > in module". Как бы хоть сеть поднять? depends: mii modinfo mii? insmod не разрешает зависимости модулей. -- WBR, wRAR (ALT Linux Team) Powered by the ALT Linux fortune(8): <cityhawk> Народ, а как заставить passwd не вы[censored]ваться? <gns> cityhawk: в смысле? <Lost[work]> cityhawk: под рутом запускать <henker> cityhawk: там настройки есть * gns .o0 видимо все уже в курсе... [-- Attachment #2: Digital signature --] [-- Type: application/pgp-signature, Size: 189 bytes --]
Grigory Fateyev пишет:
> Hello Konstantin A. Lepikhov!
> On Wed, 23 May 2007 13:47:37 +0400 (MSD) you wrote:
>
>> <цитата от="Grigory Fateyev">
>>> Здравствуйте!
>>>
>>> Извините что пишу сюда, но другой рассылке мне сейчас трудно найти.
>>> Проблема воспроизводится и на SUSE10.0 с ядром 2.6.13 и на Fedora 6
>>> с ядром 2.6.18, после некоторой работы сервера под этими ОС
>>> перестают грузиться модули ядра. modprobe вываливается с FATAL:
>>> could't find module, так-же и по полному пути к модулю (модуль
>>> точно есть). modinfo тоже не находит модулей, а вот по полному пути
>>> информацию выводит. При старте не грузятся xfs, 8139too и т. д. и
>>> сервер почти не работает. Сейчас доступ к серверу только через KVM,
>>> ошибки есть в dmesg на ata1
>>> (http://www.anastasia.ru/greg/kvm_device_error.jpg), вроде других
>>> ошибок нет.
>>>
>>> Кто может быть сталкивался, подскажите что делать? Почему не
>>> грузятся модуди? Помогите пожалуйста :)
>> а /lib/modules/<kver>/modules.dep вообще читается?
>>
> Читается, но он пустой!
>
А если depmod выполнить? Не помогает?
Hello Konstantin A. Lepikhov! On Wed, 23 May 2007 16:36:21 +0400 (MSD) you wrote: Перенаправляю в hardware@, ибо считаю проблему больше железной. Напомню суть: "Извините что пишу сюда, но другой рассылке мне сейчас трудно найти. Проблема воспроизводится и на SUSE10.0 с ядром 2.6.13 и на Fedora 6 с ядром 2.6.18, после некоторой работы сервера под этими ОС перестают грузиться модули ядра. modprobe вываливается с FATAL: could't find module, так-же и по полному пути к модулю (модуль точно есть). modinfo тоже не находит модулей, а вот по полному пути информацию выводит. При старте не грузятся xfs, 8139too и т. д. и сервер почти не работает. Сейчас доступ к серверу только через KVM, ошибки есть в dmesg на ata1 (http://www.anastasia.ru/greg/kvm_device_error.jpg), вроде других ошибок нет." > <цитата от="Grigory Fateyev"> > ... > > xfs сейчас уже не критичен, грузиться через insmod. Жду support > > скажет насчёт другого контроллера. Сейчас встроенный ICH5 Intel, > > hdd Samsung. > я к тому, что все равно после замены контроллера неплохо было бы > проверить все разделы на предмет ошибок. Сменили материнку, теперь: 00:1f.1 IDE interface: Intel Corporation 82801G (ICH7 Family) IDE Controller (rev 01) 00:1f.2 IDE interface: Intel Corporation 82801GB/GR/GH (ICH7 Family) Serial ATA Storage Controller IDE (rev 01) HDD: Attached devices: Host: scsi0 Channel: 00 Id: 00 Lun: 00 Vendor: ATA Model: SAMSUNG SP2004C Rev: VM10 Type: Direct-Access Ошибки при загрузке остались, типа: May 23 13:50:04 skore kernel: res 51/04:00:00:4f:c2/00:00:00:00:00/00 Emask 0x1 (device error) May 23 13:50:04 skore kernel: res 51/04:00:00:4f:c2/00:00:00:00:00/00 Emask 0x1 (device error) May 23 13:50:04 skore kernel: res 51/04:00:00:4f:c2/00:00:00:00:00/00 Emask 0x1 (device error) в dmesg: SCSI device sda: 390721968 512-byte hdwr sectors (200050 MB) sda: Write Protect is off sda: Mode Sense: 00 3a 00 00 SCSI device sda: write cache: enabled, read cache: enabled, doesn't support DPO or FUA SCSI device sda: 390721968 512-byte hdwr sectors (200050 MB) sda: Write Protect is off sda: Mode Sense: 00 3a 00 00 SCSI device sda: write cache: enabled, read cache: enabled, doesn't support DPO or FUA > > KVM ограничен, rtl8139 нет в установленном ядре и как туда исходник > > залить не знаю. > тады ой. придется переустанавливать ядро через cdrom/usb stick/etc. Но > лучше это сделать после замены и проверки. Загрузился с rescue, и обновил ядро. На время проблема ушла. -- Всего наилучшего! Григорий greg [at] anastasia [dot] ru Письмо отправлено: 2007/05/25 15:29
Hello Konstantin A. Lepikhov!
On Wed, 23 May 2007 16:36:21 +0400 (MSD) you wrote:
>
> <цитата от="Grigory Fateyev">
> ...
> > xfs сейчас уже не критичен, грузиться через insmod. Жду support
> > скажет насчёт другого контроллера. Сейчас встроенный ICH5 Intel,
> > hdd Samsung.
> я к тому, что все равно после замены контроллера неплохо было бы
> проверить все разделы на предмет ошибок.
>
> > KVM ограничен, rtl8139 нет в установленном ядре и как туда исходник
> > залить не знаю.
> тады ой. придется переустанавливать ядро через cdrom/usb stick/etc. Но
> лучше это сделать после замены и проверки.
Блин, да чего я могу наделать, сейчас и на обновлённом ядре модули
перестают грузиться...
# modinfo xfs
modinfo: could not find module xfs
#
modinfo /lib/modules/2.6.20-1.2948.fc6/kernel/fs/xfs/xfs.ko
filename: /lib/modules/2.6.20-1.2948.fc6/kernel/fs/xfs/xfs.ko
license: GPL description: SGI XFS with ACLs, security
attributes, large block numbers, no debug enabled author:
Silicon Graphics, Inc. srcversion: CEE3288B5E55B47CFE84E88
depends:
vermagic: 2.6.20-1.2948.fc6 SMP mod_unload 686 4KSTACKS
Уууууу...
--
Всего наилучшего! Григорий
greg [at] anastasia [dot] ru
Письмо отправлено: 2007/05/25 18:52
Здравствуйте. самба 3.0.25, Домен вин2003 На данный момент часть юзеров смаплена на локальных, с ними всё вроде нормально (заходят с виндовых машин и т.п.) А вот как сделать, что-бы остальные заходили с виндовых машин как nobody, без всяких дополнительных запросов имени/пароля? [global] dos charset = CP866 unix charset = CP1251 workgroup = REUTMAN server string = Alex Server log file = /var/log/samba/log.%m max log size = 50 ; log level = 3 guest account = nobody security = ads password server = server.reutman.local realm = REUTMAN.LOCAL use spnego=yes encrypt passwords = yes smb passwd file = /etc/samba/smbpasswd ; username map = /etc/samba/smbusers idmap domains = REUTMAN idmap config REUTMAN:backend = rid idmap config REUTMAN:base_rid = 1000 idmap config REUTMAN:range = 10000 - 50000 idmap alloc backend = tdb idmap alloc config:range = 5000 - 9999 socket options = TCP_NODELAY wins server = 192.168.0.1 dns proxy = no use sendfile = yes map to guest = Bad User guest ok = yes #============================ Share Definitions ============================== [Музыка] path = /home/share/Music/ write list = "REUTMAN\alex" @"REUTMAN\Администраторы домена" force create mode = 0765 force directory mode = 0775 delete readonly = yes guest ok = yes public = yes -- Alexey Sidorov mailto:alex@reutman.ru JID: alex@reutman.ru ICQ: 5052225
[-- Attachment #1: Type: text/plain, Size: 1615 bytes --] Доброе время всем. Посоветуйте, пожалуйста, как лучше решить следующую задачу: есть хост theor, с IP адреса которого разрешён доступ к научным журналам. Так вот, нужно позволить некоторым пользователям из любой точки земли, пройдя аутентификацию/авторизацию, через theor иметь возможность *удобно* искать/скачивать статьи. Вариант который приходит мне в голову это поставить там прокси-сервер squid, но для пользователя (в частности для меня) остаётся сложность, заключающаяся в том, что я должен буду менять настройки proxy в браузере. И что ещё больше меня смущает, что если я не верну настройки назад, то весь трафик будет протекать через theor, что крайне не желательно. Хочется, чтобы была возможность ввести в браузере какой-нибудь URL и через него уже выходить на сайты журнала. Кто-нибудь сталкивался с такой задачей? Как это лучше реализовать? Большое спасибо за любые идеи, -- Peter. [-- Attachment #2: Эта часть сообщения подписана цифровой подписью --] [-- Type: application/pgp-signature, Size: 189 bytes --]
Hi Peter! Sunday 03, at 02:55:37 PM you wrote: > Доброе время всем. > > Посоветуйте, пожалуйста, как лучше решить следующую задачу: есть хост > theor, с IP адреса которого разрешён доступ к научным журналам. Так вот, > нужно позволить некоторым пользователям из любой точки земли, пройдя > аутентификацию/авторизацию, через theor иметь возможность *удобно* > искать/скачивать статьи. > > Вариант который приходит мне в голову это поставить там прокси-сервер > squid, но для пользователя (в частности для меня) остаётся сложность, > заключающаяся в том, что я должен буду менять настройки proxy в > браузере. И что ещё больше меня смущает, что если я не верну настройки если squid будет слушать на :80, зачем менять настройки? > назад, то весь трафик будет протекать через theor, что крайне не > желательно. > > Хочется, чтобы была возможность ввести в браузере какой-нибудь URL и > через него уже выходить на сайты журнала. Кто-нибудь сталкивался с такой > задачей? Как это лучше реализовать? transparent squid и nginx/apache с mod_realip. > > Большое спасибо за любые идеи, > _______________________________________________ > Sysadmins mailing list > Sysadmins@lists.altlinux.org > https://lists.altlinux.org/mailman/listinfo/sysadmins -- WBR et al.
Здравствуйте, Konstantin. Вы писали 3 июня 2007 г., 15:52:46: > Hi Peter! > Sunday 03, at 02:55:37 PM you wrote: >> Доброе время всем. >> >> Посоветуйте, пожалуйста, как лучше решить следующую задачу: есть хост >> theor, с IP адреса которого разрешён доступ к научным журналам. Так вот, >> нужно позволить некоторым пользователям из любой точки земли, пройдя >> аутентификацию/авторизацию, через theor иметь возможность *удобно* >> искать/скачивать статьи. >> >> Вариант который приходит мне в голову это поставить там прокси-сервер >> squid, но для пользователя (в частности для меня) остаётся сложность, >> заключающаяся в том, что я должен буду менять настройки proxy в >> браузере. И что ещё больше меня смущает, что если я не верну настройки > если squid будет слушать на :80, зачем менять настройки? >> назад, то весь трафик будет протекать через theor, что крайне не >> желательно. >> >> Хочется, чтобы была возможность ввести в браузере какой-нибудь URL и >> через него уже выходить на сайты журнала. Кто-нибудь сталкивался с такой >> задачей? Как это лучше реализовать? > transparent squid и nginx/apache с mod_realip. >> >> Большое спасибо за любые идеи, создать на theor файлик wpad.dat и тем,кому это нужно прописать автоопределение прокси сервера.В файлике wpad.dat прописать прокси только для одного URL судя по: http://www.checkproxy.com/checkp/ru/faq/111.html http://www.checkproxy.com/checkp/ru/faq/112.html должно работать.Вот только ссылки на формат файлов не живые. Удачи! -- С уважением, smont mailto:smont@mail.ru
hi all Господа, вопрос уже скорее "из интереса". Ибо замучился и пропивал везде прокси руками. Как сделать прозрачный прокси понятно, что-то вроде этого на шлюзе # iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128 а вот теперь на самой машинке, которая и является шлюзом хочется тоже прозрачно проксировать. Это возможно? я совершенно не спец в netfilter, но делаю вывод, что это невозможно. вот ход рассуждений: так как я свой собственный браузер подрихтовать хочу соответсвенно смотрю проходение пакетов "От локальных процессов". Единственное место где можно сделать REDIRECT - это -t nat OUTPUT. Делаю к примеру iptables -t nat -A OUTPUT -p tcp --dport 80 -j REDIRECT --to-port 3128. (да понятно, что этим рубится и squid траф, видимо надо делать как советовалми через uid) Но даже так в итоге на squid приходит запрос с моего внешнего IP и соответсвенно Access Denied. А т.у у меня pppoe и динамический IP то настроить должным образом squid тоже не получится :( вывод - при динамическом внешнем IP настроить прозрачный прокси для приложений на шлюзе не получится (ну по крайней мере не предприняв совсем нежелательных действий по разрешению доступа в squid.conf для всех возможных адресов из динамически мне раздаваемых) -- Artem Zolochevskiy Kaliningrad, Russia JID: az@jabber.org
[-- Attachment #1: Type: text/plain, Size: 1227 bytes --] Artem Zolochevskiy пишет: > hi all > > Господа, вопрос уже скорее "из интереса". Ибо замучился и пропивал везде > прокси руками. > Как сделать прозрачный прокси понятно, что-то вроде этого на шлюзе > # iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128 > > а вот теперь на самой машинке, которая и является шлюзом хочется тоже > прозрачно проксировать. Это возможно? > > я совершенно не спец в netfilter, но делаю вывод, что это невозможно. > вот ход рассуждений: > так как я свой собственный браузер подрихтовать хочу соответсвенно смотрю > проходение пакетов "От локальных процессов". Единственное место где можно > сделать REDIRECT - это -t nat OUTPUT. Делаю к примеру iptables -t nat -A > OUTPUT -p tcp --dport 80 -j REDIRECT --to-port 3128. (да понятно, что этим > рубится и squid траф, видимо надо делать как советовалми через uid) Но даже > так в итоге на squid приходит запрос с моего внешнего IP и соответсвенно > Access Denied. А т.у у меня pppoe и динамический IP то настроить должным > образом squid тоже не получится :( Получится. Только включи еще в правило критерий --uid-owner -- With Best Regards, Maxim Tyurin JID: MrKooll@jabber.pibhe.com [-- Attachment #2: OpenPGP digital signature --] [-- Type: application/pgp-signature, Size: 252 bytes --]
Maxim Tyurin wrote:
> Artem Zolochevskiy пишет:
>> hi all
>>
>> Господа, вопрос уже скорее "из интереса". Ибо замучился и пропивал везде
>> прокси руками.
>> Как сделать прозрачный прокси понятно, что-то вроде этого на шлюзе
>> # iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port
>> # 3128
>>
>> а вот теперь на самой машинке, которая и является шлюзом хочется тоже
>> прозрачно проксировать. Это возможно?
>>
>> я совершенно не спец в netfilter, но делаю вывод, что это невозможно.
>> вот ход рассуждений:
>> так как я свой собственный браузер подрихтовать хочу соответсвенно смотрю
>> проходение пакетов "От локальных процессов". Единственное место где
>> можно сделать REDIRECT - это -t nat OUTPUT. Делаю к примеру iptables -t
>> nat -A OUTPUT -p tcp --dport 80 -j REDIRECT --to-port 3128. (да понятно,
>> что этим рубится и squid траф, видимо надо делать как советовалми через
>> uid) Но даже так в итоге на squid приходит запрос с моего внешнего IP и
>> соответсвенно Access Denied. А т.у у меня pppoe и динамический IP то
>> настроить должным образом squid тоже не получится :(
>
> Получится. Только включи еще в правило критерий --uid-owner
>
Максим, тут скорее проблема не в --uid-owner, а в том что на squid приходит
запрос с моего внешнего IP. Мысль с --uid-owner понятна. Но работать так не
будет (без правки доступа к squid с внешнего IP, что затруднительно по
причине его динамичности ).
--
Artem Zolochevskiy
Kaliningrad, Russia
JID: az@jabber.org
В сообщении от Monday 04 June 2007 01:51:16 Artem Zolochevskiy написал(а):
> Максим, тут скорее проблема не в --uid-owner, а в том что на squid приходит
> запрос с моего внешнего IP. Мысль с --uid-owner понятна. Но работать так не
> будет (без правки доступа к squid с внешнего IP, что затруднительно по
> причине его динамичности ).
А если завернуть трафик на 127.0.0.1 ?
--
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
XMPP: ashen@altlinux.org, AlexShen@jabber.ru
ICQ: 271053845
Шенцев Алексей Владимирович пишет:
> В сообщении от Monday 04 June 2007 01:51:16 Artem Zolochevskiy написал(а):
>> Максим, тут скорее проблема не в --uid-owner, а в том что на squid приходит
>> запрос с моего внешнего IP. Мысль с --uid-owner понятна. Но работать так не
>> будет (без правки доступа к squid с внешнего IP, что затруднительно по
>> причине его динамичности ).
> А если завернуть трафик на 127.0.0.1 ?
Трафик уже завёрнут на врешний интерфейс (решение о маршрутизации в
самом начале срабатывает) и его адрес - это SRC пакета. В прозрачной
переадресации по uid мы меняем DST. Допустим, мы в NAT поменяем и SRC по
критерию uid (через mangle, а потом через nat), но трафик, получается,
будет идти с внешнего интерфейса, а адреса будут внутренние, как для
loopback-интерфейса. Не знаю, как у кого, но у меня такие марсиане
режутся сразу.
Впрочем, если кому-то такое будет нужно... Но он при этом ССЗБ :)
Вообще, в линуксе не мешало бы дублировать точку решения о маршрутизации
для локальных процессов или вообще эту точку перенести. Но последнее
чревато урезанием возможностей netfilter в отношении локально
сгенерированных пакетов...
От Artem Zolochevskiy поступило следующее: > hi all > > Господа, вопрос уже скорее "из интереса". Ибо замучился и пропивал везде > прокси руками. > Как сделать прозрачный прокси понятно, что-то вроде этого на шлюзе > # iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128 Пока верно. > а вот теперь на самой машинке, которая и является шлюзом хочется тоже > прозрачно проксировать. Это возможно? Легко. > я совершенно не спец в netfilter, но делаю вывод, что это невозможно. Вывод неверен. > вот ход рассуждений: > так как я свой собственный браузер подрихтовать хочу соответсвенно смотрю > проходение пакетов "От локальных процессов". Единственное место где можно > сделать REDIRECT - это -t nat OUTPUT. Делаю к примеру iptables -t nat -A > OUTPUT -p tcp --dport 80 -j REDIRECT --to-port 3128. (да понятно, что этим > рубится и squid траф, видимо надо делать как советовалми через uid) Но даже > так в итоге на squid приходит запрос с моего внешнего IP и соответсвенно > Access Denied. А т.у у меня pppoe и динамический IP то настроить должным > образом squid тоже не получится :( > > вывод - при динамическом внешнем IP настроить прозрачный прокси для > приложений на шлюзе не получится (ну по крайней мере не предприняв совсем > нежелательных действий по разрешению доступа в squid.conf для всех > возможных адресов из динамически мне раздаваемых) Для начала - обеспечить прозрачность самомУ сквиду (РТФМ). Для кончала - заворот на сквид даже при запросах от локалхоста. ________________________ С уважением, Вадим Илларионов системный администратор Усолье-Сибирский почтамт JID: см. <mailto:> UIN: 7899517 Телефоны: Мобильный +7 904 658-4154 Рабочий +7 39543 444-00