Ping-Admin.Ru

Просмотр сообщений

В этом разделе можно просмотреть все сообщения, сделанные этим пользователем.


Сообщения - Gekko

Страницы: [1] 2 3 ... 13
1
Остановить на их компах браузинг что ли? Думаю - для обычных пользователей этого достаточно.

2
Странное поведение микротика при попытке пробросить порт для SSH на сервер. Вот вводные
Микротик 941-2nD. Прошивка версии 6.43.4.
При добавлении правила NAT для проброса SSH на сервер 192.168.111.101 подключение не происходит, хотя правило в NAT отсчитывает счетчик попыток подключения. Далее совсем интересно: при подключении с самого микротика на этот же сервер SSH работает - заходишь Tools-> Telnet -> SSH... адрес...  ОК.
Попробовал настроить проброс 81ого hhtps порта до веб-интерфейса этого же сервера - тоже не работает. Из локалки все работает: и SSH и веб-рожа. Застревание происходит где то после обработки nat.


Цитата
[admin@Mikrotik] > ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
 0  D ;;; special dummy rule to show fasttrack counters
      chain=forward action=passthrough

 1    ;;; defconf: fasttrack
      chain=forward action=fasttrack-connection connection-state=established,related

 2    ;;; defconf: accept established,related, untracked
      chain=forward action=accept connection-state=established,related,untracked

 3    ;;; defconf: drop invalid
      chain=forward action=drop connection-state=invalid log=no log-prefix=""

 4    ;;; Remote control
      chain=input action=accept protocol=tcp dst-port=80 log=no log-prefix=""

 5    chain=input action=accept protocol=tcp dst-port=8291 log=no log-prefix=""

 6    chain=input action=accept protocol=tcp dst-port=81 log=no log-prefix=""               (<--  не обращайте внимания - это я рыбу заворачивал.)

 7    ;;; accept SNMP
      chain=input action=accept protocol=udp dst-port=161 log=no log-prefix=""

 8    ;;; defconf: accept ICMP
      chain=input action=accept protocol=icmp

 9 X  ;;; defconf: drop all not coming from LAN
      chain=input action=drop in-interface-list=!LAN log=no log-prefix=""

10    ;;; defconf: accept in ipsec policy
      chain=forward action=accept ipsec-policy=in,ipsec

11    ;;; defconf: accept out ipsec policy
      chain=forward action=accept ipsec-policy=out,ipsec

12    ;;; defconf: drop invalid
      chain=input action=drop connection-state=invalid log=no log-prefix=""

13 X  ;;; defconf:  drop all from WAN not DSTNATed                                                                           ( отключил, поскольку за роутером все равно другая локалка,
      chain=forward action=drop connection-state=new connection-nat-state=!dstnat                               а некоторые службы через это правило пролезть не могут)
      in-interface-list=WAN log=no log-prefix=""

14    ;;; defconf: accept established,related,untracked
      chain=input action=accept connection-state=established,related,untracked log=no
      log-prefix=""


Что еще забыл?... Сам нат:
Цитата
[admin@Mikrotik] > ip firewall nat export
# oct/19/2018 13:51:35 by RouterOS 6.43.4
# software id = MCCW-QVTI
#
# model = RouterBOARD 941-2nD
# serial number = 6B2C06B2B96E
/ip firewall nat
add action=netmap chain=dstnat comment="ClearOS WEB interface" dst-port=8081 in-interface=ether1 \
    protocol=tcp to-addresses=192.168.110.101 to-ports=81
add action=netmap chain=dstnat comment="SSH ClearOS" dst-port=8022 in-interface=ether1 log=yes \
    protocol=tcp to-addresses=192.168.110.101 to-ports=22
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none \
    out-interface-list=WAN



Что еще проверить - не знаю. За микротиком только 3СОМ свич с дефолтным вланом и больше ничего (в смысле - ничего особенного, а так - одноранговая сетка, с пол дюжины компов и сервер).





Updated: 19 October 2018, 14:22:37

Два вопроса по ходу параходу:
1) Судя по схеме прохождения пакета, нат обрабатывается в "прероутинг" и далее уходит минуя всяческие правила файрвола. Или его дальше тащит по всем правилам "форвард" и "построутинг", пока он не споткнется обо что нибудь?
2) Второй вопрос касается логирования данной ситуации: как посмотреть подробнейший лог пакетов? Есть ли возможность по какому нибудь критерию зацепиться за этот трафик и отследить пошагово - а куда это собственно он уходит и где застриёт? В общем нужна либо возможность детализировать лог или как то сниферить пакеты прямо внутри цепочек микротика... Звучит бредово, но вдруг есть какой нибудь инструментарий?


Updated: 19 October 2018, 16:53:43

PS А вот когда попробовал прокинуть порт RDP до другого сервера в локалке - получилось. Надо смотреть iptables на этом "молчаливом" сервере.

3
А у меня вообще какакя то хня: я в себя ничего не впихую а знания обратно прут и прут.  :(

4
а эт самое, на работе за слова "я не знаю" или "я не умею" или "никогда этим не занимался" расстреливают?
Речь не о том что ты знаешь или умеешь. Тебя брали на работу с определенным набором навыков. Если то что тебе предлагают сделать в них не вписывается - что же вы другого то не нашли а сказали, что я принят? Должностная инструкция - опять же таки.
У меня на работе есть вещь с которой я принципиально не связываюсь - 1С. В том плане, что я могу поднять вам хоть кластер серверов 1с с скулем и терминальным доступом, но просить меня поправить какую то печатную форму, поправить выгрузку или даже тупо завести пользователя - это не ко мне. Приложение 1с запускается? Ок, дальше - к ребятам из 1с саппорта. Они в этом деле спецы и я не буду у них хлеб отнимать, что бы там про желтых программистов ни говорили.

5
Эдак можно скатиться и до таскания с собой обжимки "на всякий случай". Нахуй-нахуй. Отвертка есличо найдётся.
Порылся в своей суме... Помимо обжимки: KVM, набор отверток и шестигранников, фонарь, перчатки... О! Тестер сетевой. В чехле. В чехле еще стяжки, вторая обжимка и термопаста. Где то еще был паяльник и кислота.

6
Сегодня пол дня мы учились удалять письма из аутлука.



Updated: 16 October 2018, 17:44:17


7
Телефония / FreePBX: Attended transfer timeout
« : 16 Октября 2018, 11:09:02 »
1. Создать файл /etc/asterisk/features_general_custom.conf
2. Запихать туда нужное значение
3. Зайти в консоль Asterisk
4. Выполнить:
module reload features 
То есть раз его нет - вписать самому? Ок.
Тогда вопрос чисто филосафского толка: а как тогда астериск дефолтное значение то получает?

8
Телефония / FreePBX: Attended transfer timeout
« : 12 Октября 2018, 13:42:53 »
Asterisk Ver. 11.17.1. Проблема с Attended transfer - методом перевода звонка внутреннему абоненту, при котором звонок возвращается обратно переводившему через определенное время, если тот не снял трубку. Сейчас у абонента которому переводится звонок раздается два или три звонка, он не успевает добежать до телефона и звонок переводится обратно.
Где указать таймер возврата звонка после attended transfer, если не сняли трубку? Везде пишут: зайдите в eatures.conf и исправьте параметр "atxfernoanswertimeout ="
Так вот нет там никакого atxfernoanswertimeout. Там только инклуды на другие конфиги, в которых тоже нет этого параметра.  Или в веб-интерфейсе куда надо зайти?

9
Курилка / Унылое чтиво...
« : 08 Октября 2018, 09:05:58 »
откатись подальше и ставь всё по-новой.
До ХР.

10
Курилка / Микроника - все, Профи - все
« : 04 Октября 2018, 22:20:59 »
а один резистор можно и в чипе купить
Ну так то да.

11
Unix / Проксмокс: после обновления хоста...
« : 03 Октября 2018, 15:08:42 »
...перестал загружаться гостевой сервер Zabbix.

загружается только предыдущее ядро. Попробовал обновиться:
Цитата
sudo apt-get update && sudo apt-get upgrade
....
update-initramfs: Generating /boot/initrd.img-4.15.0-34-generic
cp: error reading '/lib/modules/4.15.0-34-generic/kernel/drivers/usb/host/isp116x-hcd.ko': Input/output error
cp: error reading '/lib/modules/4.15.0-34-generic/kernel/drivers/usb/host/max3421-hcd.ko': Input/output error
cp: error reading '/lib/modules/4.15.0-34-generic/kernel/drivers/usb/host/ssb-hcd.ko': Input/output error
...много много подобных ошибок...
cp: error reading '/lib/modules/4.15.0-34-generic/kernel/crypto/sm3_generic.ko': Input/output error
cp: error reading '/lib/modules/4.15.0-34-generic/kernel/crypto/twofish_generic.ko': Input/output error
cp: error reading '/lib/modules/4.15.0-34-generic/kernel/crypto/sha3_generic.ko': Input/output error
cp: error reading '/lib/modules/4.15.0-34-generic/kernel/lib/842/842_compress.ko': Input/output error
cp: error reading '/lib/modules/4.15.0-34-generic/kernel/crypto/tea.ko': Input/output error
/usr/sbin/iucode_tool: /lib/firmware/intel-ucode: cannot walk directory: Input/output error
E: intel-microcode: failed to create or prepend the early initramfs to the initramfs
depmod: ERROR: failed to load symbols from /var/tmp/mkinitramfs_Wv7wS0/lib/modules/4.15.0-34-generic/kernel/fs/isofs/isofs.ko: Invalid argument
depmod: ERROR: failed to load symbols from /var/tmp/mkinitramfs_Wv7wS0/lib/modules/4.15.0-34-generic/kernel/fs/nfs/nfsv2.ko: Invalid argument
...много много подобных ошибок...
depmod: ERROR: failed to load symbols from /var/tmp/mkinitramfs_Wv7wS0/lib/modules/4.15.0-34-generic/kernel/lib/842/842_compress.ko: Invalid argument
depmod: ERROR: failed to load symbols from /var/tmp/mkinitramfs_Wv7wS0/lib/modules/4.15.0-34-generic/kernel/lib/842/842_decompress.ko: Invalid argument
root@xenon:/var/lib/dpkg/info# cp: error reading '/lib/modules/4.15.0-34-generic/kernel/net/ieee802154/ieee802154.ko': Input/output error

тем временем на хосте:
Цитата
fdisk -l -u
Disk /dev/sda: 1.8 TiB, 2000398934016 bytes, 3907029168 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 4096 bytes
I/O size (minimum/optimal): 4096 bytes / 4096 bytes
Disklabel type: gpt
Disk identifier: CD4F1B2D-0008-45FC-B865-2D7607696A84

Device          Start        End    Sectors  Size Type
/dev/sda1          34       2047       2014 1007K BIOS boot
/dev/sda2        2048 3907012749 3907010702  1.8T Solaris /usr & Apple ZFS
/dev/sda9  3907012750 3907029134      16385    8M Solaris reserved 1

Partition 1 does not start on physical sector boundary.
Partition 9 does not start on physical sector boundary.



Disk /dev/sdb: 1.8 TiB, 2000398934016 bytes, 3907029168 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 4096 bytes
I/O size (minimum/optimal): 4096 bytes / 4096 bytes
Disklabel type: gpt
Disk identifier: 5FC016CF-85FB-4F58-8F9B-24F62B5080DE

Device          Start        End    Sectors  Size Type
/dev/sdb1          34       2047       2014 1007K BIOS boot
/dev/sdb2        2048 3907012749 3907010702  1.8T Solaris /usr & Apple ZFS
/dev/sdb9  3907012750 3907029134      16385    8M Solaris reserved 1

Partition 1 does not start on physical sector boundary.
Partition 9 does not start on physical sector boundary
.


Disk /dev/sdc: 1.8 TiB, 2000398934016 bytes, 3907029168 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 4096 bytes
I/O size (minimum/optimal): 4096 bytes / 4096 bytes
Disklabel type: gpt
Disk identifier: F4BDB1E3-1470-495F-B3AE-4FC8F4EFC95F

Device          Start        End    Sectors  Size Type
/dev/sdc1          34       2047       2014 1007K BIOS boot
/dev/sdc2        2048 3907012749 3907010702  1.8T Solaris /usr & Apple ZFS
/dev/sdc9  3907012750 3907029134      16385    8M Solaris reserved 1

Partition 1 does not start on physical sector boundary.
Partition 9 does not start on physical sector boundary.


Disk /dev/zd0: 8 GiB, 8589934592 bytes, 16777216 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 4096 bytes
I/O size (minimum/optimal): 4096 bytes / 4096 bytes


Disk /dev/zd16: 50 GiB, 53687091200 bytes, 104857600 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 8192 bytes
I/O size (minimum/optimal): 8192 bytes / 8192 bytes
Disklabel type: gpt
Disk identifier: 4A886837-38C1-11E8-B2C7-894082D7BBC4

Device         Start       End  Sectors  Size Type
/dev/zd16p1       40      1063     1024  512K FreeBSD boot
/dev/zd16p2     1064  98566183 98565120   47G FreeBSD UFS
/dev/zd16p3 98566184 103809063  5242880  2.5G FreeBSD swap

Partition 1 does not start on physical sector boundary.
Partition 2 does not start on physical sector boundary.
Partition 3 does not start on physical sector boundary.


Я правильно понял что после обновления   на хосте-проксмоксе у него разъехались края томов и, как следствие, у гостя-заббикса повредился его виртуальный диск?

12
Курилка / Микроника - все, Профи - все
« : 03 Октября 2018, 14:53:43 »
В питере - не так уж и много. Профи кстати может и не все закрылись. Просто тот, что напротив чип-дипа на восстания - закрылся на ремонт.
Про Али - это пошутили, да? Всякую мелочевку с али месяцами ждать?

13
Курилка / Микроника - все, Профи - все
« : 02 Октября 2018, 11:55:04 »
Остался один ублюдочный Чип&Дип.  :negodue:

14
Не знал куда написать - сюда или в виртуализацию...
На proxmox поднял машинку на CentOS. Проработала она до сегодняшнего дня без ошибок, но после перезагрузки проксмокса слетела загрузка:
Блжад, где я?  ???

15
Главный / Zabbix: клиенты за роутером
« : 24 Сентября 2018, 14:05:32 »
Ну вот собственно тривиальная задача - Zabbix-сервер должен видеть zabbix-клиентов за микротиком. Клиентов в общем то и не так много - чуть больше десятка, но "маскарадить вручную" - звучит как синоним "душевного ананизма". Как прокинуть этих клиентов через роутер по человечески? Статические пути? Zabbix-proxy?
ЗЫ Дело усложняется еще и тем, что в данной внутренней подсети нет ни одной машины подходящей на роль сервера: все сплошь рабочие станции под вынь.

Страницы: [1] 2 3 ... 13