Показаны различия между двумя версиями страницы.
Предыдущая версияСледующая версия | |||
— | fedora:020-network [30.08.2023 11:00] – [DOCKER без IPTABLES. Fedora 38] Oleg Kochkin | ||
---|---|---|---|
Строка 1: | Строка 1: | ||
+ | ====== Сеть ====== | ||
+ | ===== LIBVIRTD без IPTABLES. Fedora 38 ===== | ||
+ | В свойствах виртуальной сети (virsh net-edit) изменить: | ||
+ | <forward mode=" | ||
+ | на | ||
+ | <forward mode=" | ||
+ | Перезапустить libvirtd. | ||
+ | |||
+ | Правила iptables в таблице nat (адрес подсети зависит о настроек): | ||
+ | < | ||
+ | -A POSTROUTING -s 192.168.10.0/ | ||
+ | </ | ||
+ | В таблице filter: | ||
+ | < | ||
+ | -A INPUT -i virbr0 -j ACCEPT | ||
+ | -A FORWARD -i virbr0 -j ACCEPT | ||
+ | -A FORWARD -o virbr0 -j ACCEPT | ||
+ | </ | ||
+ | |||
+ | ===== DOCKER без IPTABLES. Fedora 38 ===== | ||
+ | Причина: | ||
+ | Цель: установить [[https:// | ||
+ | Условие: | ||
+ | |||
+ | Установка docker (на самом деле. установится " | ||
+ | dnf install docker | ||
+ | Добавление опции отключения iptables (--iptables=false): | ||
+ | cat / | ||
+ | OPTIONS=" | ||
+ | --live-restore \ | ||
+ | --default-ulimit nofile=1024: | ||
+ | --init-path / | ||
+ | --userland-proxy-path / | ||
+ | --iptables=false \ | ||
+ | --data-root / | ||
+ | " | ||
+ | Также все данные docker были перенесены на другой диск - "-g / | ||
+ | |||
+ | Запуск docker: | ||
+ | systemctl enable --now docker | ||
+ | Восстановление из ранее сохранённого образа: | ||
+ | docker load < acestream-proxy.tar | ||
+ | Запуск контейнера: | ||
+ | docker run -d -p 192.168.1.2: | ||
+ | При перезапуске службы docker, контейнер стартует. Вероятно срабатывает опция " | ||
+ | |||
+ | Правила iptables в таблице nat: | ||
+ | < | ||
+ | -A POSTROUTING -s 172.17.0.0/ | ||
+ | </ | ||
+ | В таблице filter: | ||
+ | < | ||
+ | -A INPUT -i docker0 -j ACCEPT | ||
+ | -A FORWARD -i docker0 -j ACCEPT | ||
+ | -A FORWARD -o docker0 -j ACCEPT | ||
+ | </ | ||
+ | |||
+ | * В процессе запуска была проблема: | ||
+ | |||
+ | ===== MAG322 не подключается к NFS серверу на Fedora 38 ===== | ||
+ | На сервере в / | ||
+ | udp=y | ||
+ | И перезапустить NFS сервер: | ||
+ | systemctl restart nfs-server | ||
+ | |||
+ | По наводке: | ||
+ | ===== vnstat (Fedora 38) ===== | ||
+ | Установка: | ||
+ | dnf install vnstat | ||
+ | systemctl enable --now vnstat | ||
+ | Какие интерфейсы обнаружились: | ||
+ | vnstat --iflist | ||
+ | Отключение " | ||
+ | vnstat -i eth1 --remove --force | ||
+ | vnstat -i podman0 --remove --force | ||
+ | vnstat -i veth0 --remove --force | ||
+ | В / | ||
+ | |||
+ | WEB интерфейс: | ||
+ | |||
+ | ===== Передача пароля SSH в командной строке ===== | ||
+ | sshpass -p PASSWORD ssh -p 22 user@server | ||
+ | Можно использовать при создании SSH туннеля к серверу не позволяющему сохранение публичных ключей.\\ | ||
+ | https:// | ||
+ | |||
+ | ===== SSH и RDP через SOCKS5 прокси ===== | ||
+ | |||
+ | ssh -o ProxyCommand=' | ||
+ | xfreerdp / | ||
+ | |||
+ | ===== Создание самоподписанного сертификата для Apache ===== | ||
+ | openssl req -x509 -nodes -days 3650 -newkey rsa:1024 -keyout secret.domain.key -out secret.domain.crt -subj "/ | ||
+ | |||
+ | ===== Yandex Dynamic DNS ===== | ||
+ | Предполагается, | ||
+ | |||
+ | Например, | ||
+ | |||
+ | * Создають записи типа " | ||
+ | |||
+ | Хост Тип записи Значение записи TTL | ||
+ | @ A 127.0.0.1 300 (domain.sample) | ||
+ | subdomain A 127.0.0.1 300 (subdomain.domain.sample) | ||
+ | |||
+ | Получить токен для управления записями DNS (учётная запись Яндекса, | ||
+ | |||
+ | Выведется, | ||
+ | |||
+ | Получить ID записей: | ||
+ | curl -sH ' | ||
+ | |||
+ | Будет получен перечень записей, | ||
+ | { | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | }, | ||
+ | { | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | }, | ||
+ | |||
+ | После чего можно менять значение IP указанных записей, | ||
+ | curl -sH ' | ||
+ | curl -sH ' | ||
+ | |||
+ | ===== yt-dlp - скачать все видео ===== | ||
+ | yt-dlp --ignore-errors --continue --no-overwrites <URL> | ||
+ | |||
+ | ===== HTTPS сертификаты Let's Encrypt на CentOS 7 (certbot, | ||
+ | yum -y install certbot python-certbot-apache | ||
+ | certbot --apache | ||
+ | Ввести адрес электронной почты.\\ | ||
+ | Подтвердить условия использования.\\ | ||
+ | Желаете-ли получать рассылку на указанный адрес. | ||
+ | |||
+ | Предоставляется выбор доменов, | ||
+ | 1: kochkin.tk | ||
+ | 2: www.kochkin.tk | ||
+ | 3: kochkin.mooo.com | ||
+ | Ввести номера через пробел или запятую, | ||
+ | |||
+ | После чего будут получены сертификаты и в конфигурационные файлы httpd будут внесены измения для их использования. Также будет сделано перенаправление с http на https.\\ | ||
+ | Для обновления сертификатов, | ||
+ | systemctl enable certbot-renew.timer | ||
+ | |||
+ | [[https:// | ||
+ | |||
+ | Просмотр сертификатов: | ||
+ | certbot certificates | ||
+ | |||
+ | Добавление домена к существующим: | ||
+ | certbot --expand -d kochkin.tk, | ||
+ | |||
+ | Удаление доменов: | ||
+ | certbot delete | ||
+ | |||
+ | ==== Использование сертификатов privkey.pem и fullchain.pem на другом компьютере с RedMine установленным в Windows ==== | ||
+ | Файлы копируются в папку с Apache под Windows: | ||
+ | scp root@192.168.10.108:/ | ||
+ | scp root@192.168.10.108:/ | ||
+ | net stop redmineApache | ||
+ | net start redmineApache | ||
+ | 192.168.10.108 - Компьютер, | ||
+ | |||
+ | В конфигурационном файле, в которов указываются пути к сертификатам должно быть прописано: | ||
+ | SSLCertificateFile " | ||
+ | SSLCertificateKeyFile " | ||
+ | |||
+ | ==== Преобразование автоматически сгенерированных сертификатов в формат PFX для IIS ==== | ||
+ | Необходимые сертификаты (точнее, | ||
+ | / | ||
+ | Это файлы " | ||
+ | |||
+ | В указанной выше папке, запустить: | ||
+ | openssl pkcs12 -inkey privkey.pem -in fullchain.pem -export -out YouDomain.pfx -passout pass: | ||
+ | |||
+ | |||
+ | ==== Обновление PFX в IIS ==== | ||
+ | CMD файл запускаемый на Windows с установленным IIS. : | ||
+ | scp root@192.168.10.108:/ | ||
+ | certutil -delstore " | ||
+ | certutil -f -p "" | ||
+ | certutil -repairstore " | ||
+ | |||
+ | 192.168.10.108 - Компьютер, | ||
+ | ===== Отключить ipv6 ===== | ||
+ | Временно, | ||
+ | sysctl -w net.ipv6.conf.all.disable_ipv6=1 | ||
+ | sysctl -w net.ipv6.conf.default.disable_ipv6=1 | ||
+ | sysctl -w net.ipv6.conf.lo.disable_ipv6=1 | ||
+ | Для полного отключения ipv6 в ядре, добавить к параметрам ядра: | ||
+ | ipv6.disable=1 | ||
+ | |||
+ | ===== Отправка локальной почты с CentOS через postfix ===== | ||
+ | Если домен от имени которого необходимо отправлять почту не совпадает с локальным именем машины с которой необходимо отправлять почту, надо указать имя домена, | ||
+ | myhostname = domain.com | ||
+ | myorigin = domain.com | ||
+ | Домен domain.com должен резольвиться на IP, с которого отправляется почта. | ||
+ | |||
+ | ===== Узнать скорость приёма/ | ||
+ | Провайдер предоставляет доступ к интернет следующим способом: | ||
+ | * Пользователю выдаётся IP адрес из приватной сети 10.0.0.0/8 | ||
+ | * Пользователь выходит в интернет через шлюз приватной сети (NAT) | ||
+ | * При выходе в интернет, | ||
+ | * На сетевом интерфейсе пользователя присутствует трафик, | ||
+ | Задача: | ||
+ | |||
+ | Считать скорость на сетевом интерфейсе не получится, | ||
+ | |||
+ | Создаём правила в таблице mangle iptables: | ||
+ | < | ||
+ | *mangle | ||
+ | -A PREROUTING -p all -i eth1 -s 10.0.0.0/8 -j MARK --set-mark 1 | ||
+ | -A POSTROUTING -p all -o eth1 -d 10.0.0.0/8 -j MARK --set-mark 2 | ||
+ | COMMIT | ||
+ | </ | ||
+ | Получить значения можно командами: | ||
+ | |||
+ | iptables -L -vxnt mangle | grep "MARK set 0x1" | awk ' | ||
+ | iptables -L -vxnt mangle | grep "MARK set 0x2" | awk ' | ||
+ | |||
+ | В zabbix указать в предобработке значения - " | ||
+ | |||
+ | " | ||
+ | |||
+ | ===== Включить клиент ipv6 поверх ipv4 (Teredo) (Fedora 29) ===== | ||
+ | dnf -y install miredo-client | ||
+ | systemctl enable miredo-client | ||
+ | systemctl start miredo-client | ||
+ | ping6 ipv6.google.com | ||
+ | |||
+ | ===== Проверить скорость передачи между двумя компьютерами ===== | ||
+ | На первом запускаем (должен быть открыт порт 5201 для входящих подключений): | ||
+ | iperf3 -s | ||
+ | На втором: | ||
+ | iperf3 -е 600 -с < | ||
+ | Или новый синтаксис: | ||
+ | iperf3 -с < | ||
+ | Запустит тест на передачу на 600 секунд. | ||
+ | |||
+ | ===== Включить автоопределение параметров сетевой карты (autoneg) ===== | ||
+ | |||
+ | ethtool -s enp8s0 autoneg on | ||
+ | Или в файле / | ||
+ | ETHTOOL_OPTS=" | ||
+ | |||
+ | ===== IPSET и IPTABLES (CentOS 7) ===== | ||
+ | |||
+ | systemctl disable --now firewalld | ||
+ | dnf remove firewalld* | ||
+ | dnf install iptables-services ipset-service | ||
+ | systemctl enable --now ipset && systemctl enable --now iptables | ||
+ | |||
+ | Чтобы правила IPSET автоматически сохранялись в **''/ | ||
+ | IPSET_SAVE_ON_STOP=yes | ||
+ | IPSET_SAVE_ON_RESTART=yes | ||
+ | |||
+ | ===== Скачать с youtube.com видео опубликованные после определённой даты ===== | ||
+ | youtube-dl -c -f bestvideo+bestaudio --dateafter 20171130 -o " | ||
+ | |||
+ | --dateafter 20171130 - после 30 ноября 2017г.\\ | ||
+ | " | ||
+ | |||
+ | [[http:// | ||
+ | |||
+ | ===== Обратный туннель SSH ===== | ||
+ | Иногда бывает необходимо компьютеру " | ||
+ | |||
+ | " | ||
+ | ssh -fN -R 10022: | ||
+ | что означает: | ||
+ | |||
+ | Для соединения с компьютером " | ||
+ | ssh -p 10022 localhost | ||
+ | |||
+ | Или ещё один вариант. На сервере в / | ||
+ | ssh -fN -R 192.168.20.1: | ||
+ | Для соединения: | ||
+ | ssh -p 10022 192.168.20.1 | ||
+ | |||
+ | // | ||
+ | |||
+ | ===== Проброс удалённого порта на локальный через SSH туннель ===== | ||
+ | ssh -L 4489: | ||
+ | 4489 - локальный порт\\ | ||
+ | 3389 - удалённый порт на 192.168.100.100 (сервер терминалов)\\ | ||
+ | user@host.server - SSH сервер к которому пробрасывается туннель и с которого осуществляется подключение к 192.168.100.100\\ | ||
+ | При подключении RDP клиента на локальный порт 4489, попадаем через SSH туннель на порт 3389 на 192.168.100.100. | ||
+ | |||
+ | // | ||
+ | |||
+ | Вариант проброса нескольких портов в фоне: | ||
+ | ssh -L 22008: | ||
+ | |||
+ | ===== SSH туннель в виде SOCKS5 прокси ===== | ||
+ | ssh -fN -D 2000 usertunnel@sshserver -p 6060 | ||
+ | **2000** - Порт SOCKS5 прокси, | ||
+ | **usertunnel@sshserver** - Пользователь@адрес SSH сервера.\\ | ||
+ | **6060** - Порт SSH сервера. | ||
+ | |||
+ | Для доступа к SSH серверу по сертификату, | ||
+ | ssh-keygen -t rsa -b 2048 | ||
+ | И добавить клиентский ~/ | ||
+ | В случае Windows клиента id_rsa.pub находится в папке пользователя, | ||
+ | |||
+ | ===== Опции SSH для подключения к своим виртуальным машинам ===== | ||
+ | ssh -o " | ||
+ | UserKnownHostsFile=/ | ||
+ | StrictHostKeyChecking=no - не проверять ключи. | ||
+ | |||
+ | // | ||
+ | |||
+ | ===== Именование сетевых интерфейсов в " | ||
+ | В Fedora 15/16 сетевые интерфейсы именуются примерно так - " | ||
+ | Для именования интерфейсов в виде " | ||
+ | - Удалить пакет biosdevname (yum remove biosdevname). | ||
+ | - Удалить файл / | ||
+ | - Перегрузиться. | ||
+ | - Создать интерфейсы с " | ||
+ | |||
+ | ==== В CentOS 7,8 ==== | ||
+ | - Удалить пакет " | ||
+ | - Добавить в параметры GRUB " | ||
+ | - Перегрузиться | ||
+ | |||
+ | ===== Использование нестандартного порта SSH для RSYNC ===== | ||
+ | rsync -e 'ssh -p 4056' archive.tar.bz2 192.168.10.24:/ | ||
+ | Копирует файл archive.tar.bz2 из текущей папки в корневую папку машины 192.168.10.24 через SSH порт 4056. | ||
+ | |||
+ | ===== Печать в RDP сеансе ===== | ||
+ | //11 декабря 2009г. Fedora 12.// | ||
+ | |||
+ | * Установите драйвера принтера на сервере Windows к которому необходимо подключаться. | ||
+ | * Добавьте к rdesktop параметр **-r printer:" | ||
+ | Где " | ||
+ | Если используете krdc, данный параметр прописывается в пункте \" | ||
+ | |||
+ | Для xfreerdp параметр | ||
+ | / | ||
+ | |||
+ | ===== Изменение номера сетевого устройства. ===== | ||
+ | //3 июля 2009г. Fedora 11.// | ||
+ | |||
+ | Привязки MAC адресов к номерам сетевых устройств находятся в файле / | ||
+ | |||
+ | SUBSYSTEM==" | ||
+ | |||
+ | Смена номера призводилась путём изменения MAC адреса. | ||
+ | |||
+ | ===== Закачка rsync - ом.===== | ||
+ | |||
+ | //21 октября 2008г.// | ||
+ | |||
+ | Пример закачки DVD образа Tedora с зеркала yandex.ru | ||
+ | rsync -zavP rsync:// | ||
+ | |||
+ | ===== Установка MAC адреса.===== | ||
+ | Для временной смены: | ||
+ | ifconfig eth1 hw ether 00: | ||
+ | |||
+ | Для постоянного использования - в файле \" | ||
+ | |||
+ | MACADDR=00: | ||
+ | |||
+ | ===== Подключение Jabber аккаунта на gmail.com (настройки Kopete).===== | ||
+ | Основные параметры / Jabber ID – имя@gmail.com\\ | ||
+ | Подключение / Шифрование (SSL) – вкл., Разрешить передачу паролей открытым текстом – вкл.,\\ | ||
+ | Заменить стандартную информацию о сервере: | ||
+ | |||
+ | ===== Доступ по SSH с локали UTF8 на узел с локалью KOI8R.===== | ||
+ | LANG=ru_RU.koi8r konsole -e ssh gate -l root -p 22 | ||
+ | |||
+ | ===== Закачка wget-ом.===== | ||
+ | закачивает все jpg файлы с сайта www.site.com: | ||
+ | wget -r -v -A *.jpg http:// | ||
+ | закачивает все файлы не выше указанной папки и форматирует ссылки в документах для автономного просмотра: | ||
+ | wget -np -k -p -r -A * http:// | ||
+ | |||
+ | ===== Экспорт папок для NFS.===== | ||
+ | В файле / | ||
+ | / | ||
+ | В Fedora 38 указывается подсеть с маской: | ||
+ | / | ||
+ | Примечание: | ||
+ | |||
+ | ===== Предоставление шар по самбе.===== | ||
+ | В файле / | ||
+ | [global] | ||
+ | netbios name = lin-01 | ||
+ | workgroup = workgroup | ||
+ | server string = lin-01 | ||
+ | security = share # Безовасность (свободный доступ) | ||
+ | [share] | ||
+ | path=/ | ||
+ | writable = yes # Запись разрешена | ||
+ | guest ok = yes # Разрешён доступ гостю | ||
+ | |||
+ | ===== Автомонтирование сетевых папок.===== | ||
+ | В файле / | ||
+ | /media/net / | ||
+ | /media/net - общая папка для точек монтирования | ||
+ | / | ||
+ | --timeout 36000 - время отсоединения шары (10 часов) | ||
+ | В / | ||
+ | lin-03-share | ||
+ | win-02-share | ||
+ | Вышеуказанные ресурсы монтируются в - / | ||
+ | |||
+ | ===== Подключение к PPTP серверу Microsoft (сервер используется в «домашних» сетях, например LANCOM).===== | ||
+ | Прежде, | ||
+ | |||
+ | Для создания файла туннеля использовать pptpconfig из пакета pptp-client (http:// | ||
+ | При «ручном» подключении использовать pptpconfig. | ||
+ | Для подключения при загрузке системы — команда: | ||
+ | pppd call < | ||
+ | Эта команда прописывается, | ||
+ | При автоматическом подключении необходимо добавить | ||
+ | route add default dev ppp0 | ||
+ | в файл «/ | ||
+ | |||
+ | ===== Просмотр и запись потока по RTSP ===== | ||
+ | |||
+ | Просмотр: | ||
+ | ffplay -rtsp_transport http rtsp:// | ||
+ | vlc rtsp:// | ||
+ | |||
+ | Запись: | ||
+ | ffmpeg -rtsp_transport http -i rtsp:// | ||
+ | |||
+ | ===== Доступ к SSH по ключу (без пароля) ===== | ||
+ | |||
+ | Необходимо добавить содержимое файла ~/ | ||
+ | |||
+ | Публичный ключ id_rsa.pub (если его ещё не существует) генерируется командой: | ||
+ | ssh-keygen -t rsa | ||
+ | |||
+ | Добавление публичного ключа с клиентской на удалённую машину. На клиентской машине выполнить: | ||
+ | cat .ssh/ | ||
+ | или | ||
+ | ssh-copy-id [-p port] [user@]hostname | ||
+ | Для отключения возможности входа по паролю, | ||
+ | PasswordAuthentication no | ||
+ | |||
+ | ==== После обновления с Fedora 32 на 33 перестала работать аутентификация по ключу ==== | ||
+ | Один из вариантов исправления: | ||
+ | update-crypto-policies --set DEFAULT: | ||
+ | https:// | ||
+ | |||
+ | ===== Адаптация 3G модема ZTE MF180 от Билайн для работы в Fedora 17 ===== | ||
+ | Версия оборудования - P671A-1-2.0.0\\ | ||
+ | Версия прошивок: | ||
+ | * HW - BD_BLNMF180V1.0.0B04 | ||
+ | * SW - PCW_BLNRUSCOMV1.0.0B05 | ||
+ | |||
+ | - Выяснить к какому порту подключен модем, в моём случае, | ||
+ | - В консоли от root-а выполнить команду: | ||
+ | |||
+ | # echo -e " | ||
+ | |||
+ | Данная команда была послана один раз, модем нормально работает и после физического отключения.\\ | ||
+ | Модем может нормально работать при отсутствии виндового ПО, нормально настраивается в NetworkManager. | ||
+ | |||
+ | Найдено [[http:// | ||
+ | |||
+ | Данная команда отключает доступ к диску модема, | ||
+ | ПО и драйверы для Windows можно скачать [[http:// | ||
+ | |||
+ | ----- | ||
+ | |||
+ | P.S. Если есть необходимость вернуть всё назад (сам не проверял): | ||
+ | # echo -e " | ||
+ | |||
+ | Найдено [[http:// | ||
+ | |||
+ | ===== Устранение задержки при подключении к SSH серверу ===== | ||
+ | //11 декабря 2013г. Scientific Linux 6.4// | ||
+ | |||
+ | На сервере в файле / | ||
+ | UseDNS no | ||
+ | |||
+ | ===== Подключение посредством протокола l2tp в сети StarNet г. Волжского. (Вариант с openl2tp) ===== | ||
+ | |||
+ | //8 сентября 2011г., Fedora 15// | ||
+ | |||
+ | **Устанавливаем: | ||
+ | yum install openl2tp | ||
+ | **Файл конфигурации (по умолчанию - "/ | ||
+ | ppp profile modify profile_name=default auth_eap=no auth_mschapv1=no auth_mschapv2=no | ||
+ | tunnel create tunnel_name=starnet dest_ipaddr=l2tp.starnet persist=yes | ||
+ | session create tunnel_name=starnet session_name=starnet user_name=UserName user_password=Password | ||
+ | system modify deny_remote_tunnel_creates=yes | ||
+ | |||
+ | Вместо UserName и Password прописываем имя и пароль, | ||
+ | |||
+ | **В файле "/ | ||
+ | # | ||
+ | # | ||
+ | |||
+ | **Создаём файл "/ | ||
+ | nodeflate | ||
+ | nobsdcomp | ||
+ | noauth | ||
+ | nomppe | ||
+ | lock | ||
+ | refuse-eap | ||
+ | persist | ||
+ | maxfail 0 | ||
+ | holdoff 10 | ||
+ | |||
+ | Для соединения во время старта системы делаем следующее: | ||
+ | Создаём файл "/ | ||
+ | В нём прибиваются " | ||
+ | #!/bin/sh | ||
+ | if [ " | ||
+ | | ||
+ | | ||
+ | fi | ||
+ | |||
+ | Чтобы завершить лишние процессы при отключении eth1, создаём файл "/ | ||
+ | #!/bin/sh | ||
+ | if [ " | ||
+ | | ||
+ | | ||
+ | fi | ||
+ | |||
+ | Чтобы выполнить какие-либо задачи после поднятия ppp, их необходимо прописать в "/ | ||
+ | #!/bin/bash | ||
+ | /sbin/route del default | ||
+ | /sbin/route add default dev ppp0 | ||
+ | |||
+ | Файлы ifup-local, ifdown-pre-local и ip-up.local должны быть помечены, | ||
+ | ===== Использование rsync без транспорта ===== | ||
+ | Используется для синхронизации файлов в локальной сети без шифрации трафика.\\ | ||
+ | |||
+ | На сервере необходимо запустить rsync в режиме демона, | ||
+ | |||
+ | uid = 0 | ||
+ | gid = 0 | ||
+ | pid file = / | ||
+ | log file = / | ||
+ | list = yes | ||
+ | | ||
+ | [storage] | ||
+ | path = / | ||
+ | read only = false | ||
+ | transfer logging = yes | ||
+ | |||
+ | Используемые параметры: | ||
+ | |||
+ | uid = 0, gid = 0 - на сервере rsync работает с правами root\\ | ||
+ | pid file - расположение pid файла\\ | ||
+ | log file - расположение файла журнала\\ | ||
+ | list = yes - позволить просматривать доступные ресурсы для rsync | ||
+ | |||
+ | [storage] - название ресурса\\ | ||
+ | path - путь к ресурсу\\ | ||
+ | read only = false - позволить запись\\ | ||
+ | transfer logging = yes - записывать в журнал | ||
+ | |||
+ | На сервере запускаем: | ||
+ | rsync --daemon | ||
+ | |||
+ | Для синхронизации данных с сервера на клиентскую машину на клиенте запускаем: | ||
+ | rsync -axvH server:: | ||
+ | server - адрес сервера с запущенным rsync в режиме демона\\ | ||
+ | storage - название ресурса\\ | ||
+ | / | ||
+ | |||
+ | По умолчанию rsync использует порт 873/tcp. На сервере должен быть открыт для входящих подключений. | ||
+ | |||
+ | ===== Подключение посредством протокола l2tp в сети StarNet г. Волжского. (Вариант с xl2tp) ===== | ||
+ | //17 августа 2010г. Fedora 13.// | ||
+ | |||
+ | **Из личного опыта рекомендую подключаться с помощью [[020001|openl2tp]]. Меньше нагружает систему, | ||
+ | |||
+ | Устанавливаем пакет " | ||
+ | |||
+ | Редактируем файл "/ | ||
+ | [global] | ||
+ | access control = yes | ||
+ | [lac starnet] | ||
+ | lns = l2tp.starnet | ||
+ | redial = yes ; | ||
+ | redial timeout = 10 ; | ||
+ | require chap = yes ; | ||
+ | require authentication = no ; | ||
+ | name = family_ns | ||
+ | ppp debug = yes | ||
+ | pppoptfile = / | ||
+ | require pap = no | ||
+ | autodial = yes ; | ||
+ | |||
+ | Редактируем файл "/ | ||
+ | name family_ns | ||
+ | remotename l2tp | ||
+ | ipparam starnet | ||
+ | connect /bin/true | ||
+ | nodeflate | ||
+ | nobsdcomp | ||
+ | persist | ||
+ | maxfail 0 | ||
+ | nopcomp | ||
+ | noaccomp | ||
+ | defaultroute | ||
+ | |||
+ | Редактируем файл "/ | ||
+ | |||
+ | family_ns * password | ||
+ | |||
+ | Параметры: | ||
+ | family_ns - логин\\ | ||
+ | password - пароль | ||
+ | |||
+ | Запускаем: | ||
+ | service xl2tpd start | ||
+ | |||
+ | ===== Мультикаст (IPTV) в сети PowerNet г. Волжского. ===== | ||
+ | //19 Августа 2023г. Fedora 38.// | ||
+ | |||
+ | ==== Задача 1: Просмотр IPTV. ==== | ||
+ | В правилах iptables в цепочке filter: | ||
+ | < | ||
+ | -A INPUT -p igmp -d 224.0.0.0/4 -j ACCEPT | ||
+ | -A INPUT -p udp -m addrtype -d 224.0.0.0/4 -j ACCEPT | ||
+ | </ | ||
+ | |||
+ | ==== Задача 2: Проброс мультикаст трафика в другую сеть. ==== | ||
+ | Для начала необходимо проделать действия, | ||
+ | " | ||
+ | |||
+ | === Разрешение маршрутизации: | ||
+ | В файле "/ | ||
+ | net.ipv4.ip_forward = 1 | ||
+ | Применить: | ||
+ | sysctl -p | ||
+ | Добавить правило iptables в цепочке filter: | ||
+ | < | ||
+ | -A FORWARD -j ACCEPT | ||
+ | </ | ||
+ | |||
+ | === Установка и запуск igmpproxy: === | ||
+ | |||
+ | Скачать [[https:// | ||
+ | Бинарник версии 0.4 скомпилированный на Fedora 38: {{ : | ||
+ | Бинарник версии 0.1 скомпилированный на Fedora 38: {{ : | ||
+ | |||
+ | Распаковать, | ||
+ | Поместить бинарник igmpproxy в "/ | ||
+ | В файле конфигурации: | ||
+ | quickleave | ||
+ | | ||
+ | # Интерфейс провайдера | ||
+ | phyint eth0 upstream ratelimit 0 threshold 1 | ||
+ | altnet 10.0.0.0/8 | ||
+ | altnet 172.16.0.0/ | ||
+ | | ||
+ | # Интерфес локалки | ||
+ | phyint eth1 downstream ratelimit 0 threshold 1 | ||
+ | |||
+ | Запуск: | ||
+ | / | ||
+ | Или создать службу / | ||
+ | [Unit] | ||
+ | Description=IGMP Proxy Service | ||
+ | DefaultDependencies=no | ||
+ | Wants=network-online.target | ||
+ | After=network-online.target | ||
+ | | ||
+ | [Service] | ||
+ | Restart=always | ||
+ | TimeoutStopSec=5 | ||
+ | ExecStart=/ | ||
+ | | ||
+ | Type=simple | ||
+ | StandardOutput=append:/ | ||
+ | StandardError=append:/ | ||
+ | | ||
+ | [Install] | ||
+ | WantedBy=default.target | ||
+ | |||
+ | Ключ -n не позволяет запускать, | ||
+ | Ключ -d перенаправляет все сообщения в консоль (а по факту, в указанные файлы журналов) вместо системного журнала. | ||
+ | |||
+ | ===== Запуск vnc сервера ===== | ||
+ | //16 декабря 2009г. Fedora 12.// | ||
+ | |||
+ | **Действия на подчинённой рабочей станции/ | ||
+ | Устанавливаем vnc-server | ||
+ | yum install vnc-server | ||
+ | Входим пользователем для которого делается доступ (пользователь создан ранее) и задаём пароль для доступа к vnc серверу | ||
+ | vncpasswd | ||
+ | Редактируем \"/ | ||
+ | VNCSERVERS=" | ||
+ | VNCSERVERARGS[2]=" | ||
+ | Цифра \" | ||
+ | Если необходимо предоставить доступ к vnc серверу нескольким пользователям, | ||
+ | VNCSERVERS=" | ||
+ | VNCSERVERARGS[2]=" | ||
+ | VNCSERVERARGS[3]=" | ||
+ | Запускаем vnc сервер | ||
+ | service vncserver start | ||
+ | Так-же необходимо разрешить входящие подключения в для используемых портов.\\ | ||
+ | Проверяем наличие файла \" | ||
+ | unset SESSION_MANAGER | ||
+ | exec / | ||
+ | |||
+ | **Проблемы: | ||
+ | При подаче команды завершения сеанса из DE vnc сервер не завершает сеанс полностью и при последующем соединении пользователь видит чёрный экран с курсором мыши. Для восстановления работоспособности необходимо войти через ssh и перезапустить vnc сервер \" | ||
+ | |||
+ | Для корректной работы буфера обмена между клиентом и сервером, | ||
+ | {{: | ||
+ | |||
+ | ===== Подключение посредством pptp к сети StarNet г. Волжского. ===== | ||
+ | |||
+ | //7 сентябра 2009г. Fedora 11.// | ||
+ | |||
+ | **Цель: | ||
+ | NetworkManager не используется. | ||
+ | Необходимые пакеты: | ||
+ | Для нижеуказанных действий необходимы права root-а. | ||
+ | |||
+ | **1.** Интерфейс eth0 настраиваем в system-config-network: | ||
+ | Включить: | ||
+ | * Активировать устройство при запуске компьютера | ||
+ | * Автоматически получать адрес IP при помощи dhcp | ||
+ | * Автоматически получать информацию DNS от провайдера | ||
+ | * Добавить маршрут: | ||
+ | |||
+ | Сохранить и включить интерфейс.\\ | ||
+ | < | ||
+ | |||
+ | #ifconfig | ||
+ | eth0 Link encap: | ||
+ | inet addr: | ||
+ | inet6 addr: fe80:: | ||
+ | UP BROADCAST RUNNING MULTICAST | ||
+ | RX packets: | ||
+ | TX packets: | ||
+ | collisions: | ||
+ | RX bytes: | ||
+ | Interrupt: | ||
+ | |||
+ | #route: | ||
+ | Kernel IP routing table | ||
+ | Destination | ||
+ | Starnet-Gateway 10.1.104.1 | ||
+ | 10.1.104.0 | ||
+ | link-local | ||
+ | 10.0.0.0 | ||
+ | default | ||
+ | < | ||
+ | Проверяем доступ к локальной сети, например к www.ahtuba.com... | ||
+ | |||
+ | **2.** Создаём ppp подключение: | ||
+ | < | ||
+ | pty "pptp vpn.starnet --nolaunchpppd --loglevel 0 --nobuffer" | ||
+ | user family_nn | ||
+ | password " | ||
+ | nodeflate | ||
+ | nobsdcomp | ||
+ | noauth | ||
+ | nomppe | ||
+ | lock | ||
+ | refuse-eap | ||
+ | Где \" | ||
+ | < | ||
+ | < | ||
+ | #route del default | ||
+ | #pppd call starnet debug nodetach | ||
+ | | ||
+ | using channel 4 | ||
+ | Using interface ppp0 | ||
+ | Connect: ppp0 <--> /dev/pts/2 | ||
+ | sent [LCP ConfReq id=0x1 < | ||
+ | rcvd [LCP ConfReq id=0x1 <auth chap MS-v2> <magic 0x4020e09b> | ||
+ | sent [LCP ConfAck id=0x1 <auth chap MS-v2> <magic 0x4020e09b> | ||
+ | sent [LCP ConfReq id=0x1 < | ||
+ | rcvd [LCP ConfAck id=0x1 < | ||
+ | rcvd [CHAP Challenge id=0x1 < | ||
+ | sent [CHAP Response id=0x1 < | ||
+ | rcvd [CHAP Success id=0x1 " | ||
+ | CHAP authentication succeeded | ||
+ | sent [IPCP ConfReq id=0x1 < | ||
+ | rcvd [IPCP ConfReq id=0x1 <addr 172.21.1.1> | ||
+ | sent [IPCP ConfAck id=0x1 <addr 172.21.1.1> | ||
+ | rcvd [IPCP ConfRej id=0x1 < | ||
+ | sent [IPCP ConfReq id=0x2 <addr 0.0.0.0> | ||
+ | rcvd [IPCP ConfNak id=0x2 <addr 94.147.123.211> | ||
+ | sent [IPCP ConfReq id=0x3 <addr 94.147.123.211> | ||
+ | rcvd [IPCP ConfAck id=0x3 <addr 94.147.123.211> | ||
+ | local | ||
+ | remote IP address 172.21.1.1 | ||
+ | Script / | ||
+ | Script / | ||
+ | < | ||
+ | С другой консоли даём команду: | ||
+ | #route add default dev ppp0 | ||
+ | Проверяем наличие доступа к интернету... | ||
+ | |||
+ | Для закрытия ppp соединения: | ||
+ | #killall -TERM pptpcm | ||
+ | Для автоматического изменения шлюза по умолчанию добавляем в файле \"/ | ||
+ | route del default | ||
+ | route add default dev ppp0 | ||
+ | И в файле \"/ | ||
+ | route add default gw 10.1.104.1 | ||
+ | |||
+ | **2.** Автоматизация при включении/ | ||
+ | В файле \"/ | ||
+ | sleep 1 | ||
+ | pppd call starnet nodetach & | ||
+ | В файле \"/ | ||
+ | killall -TERM pptpcm | ||
+ | Последнее необязательно, | ||
+ | |||
+ | Проверяем: | ||
+ | #service network stop | ||
+ | #service network start | ||
+ | |||
+ | ===== Как заставить DHCP клиента получать статические маршруты.===== | ||
+ | //21 апреля 2010г. - Изменено для Fedora 12. Проверено у провайдера [[http:// | ||
+ | |||
+ | Необходимо прописать в файле **/ | ||
+ | option rfc3442-classless-static-routes code 121 = array of unsigned integer 8; | ||
+ | # | ||
+ | request subnet-mask, | ||
+ | domain-name, | ||
+ | netbios-name-servers, | ||
+ | rfc3442-classless-static-routes; | ||
+ | Это заставляет DHCP клиента получать информацию о статических маршрутах. | ||
+ | |||
+ | Далее, создать файл **/ | ||
+ | if [ x" | ||
+ | rfc_routes=($new_rfc3442_classless_static_routes) | ||
+ | for(( i=0; i < ${# | ||
+ | net_length=${rfc_routes[$i]} | ||
+ | ((i++)) | ||
+ | net_address=(0 0 0 0) | ||
+ | for(( j=0; j < $[$net_length / 8 + ($net_length % 8 ? 1 : 0)]; j++, i++)); do | ||
+ | net_address[$j]=${rfc_routes[$i]} | ||
+ | done | ||
+ | gateway=(0 0 0 0) | ||
+ | for (( j=0; j < 4; j++, i++ )); do | ||
+ | gateway[$j]=${rfc_routes[$i]} | ||
+ | done | ||
+ | old_IFS=" | ||
+ | IFS=' | ||
+ | if [ x" | ||
+ | /sbin/route add -host " | ||
+ | logger " | ||
+ | else | ||
+ | /sbin/route add -net " | ||
+ | logger " | ||
+ | fi | ||
+ | IFS=" | ||
+ | done | ||
+ | fi | ||
+ | Этот скрипт добавит статические маршруты. | ||
+ | |||
+ | |||
+ | |||
+ | ===== Включение/ | ||
+ | |||
+ | Цель: управление питанием удалённого компьютера по сети.\\ | ||
+ | Включение питания не зависит от ОС подчинённого компьютера.\\ | ||
+ | Подчинённый компьютер должен иметь возможность включаться посредством подачи на сетевую карту Magic пакета (в BIOS включить опцию \"Wake On Lan\"; в Windows - в настройках драйвера сетевой карты, в Linux - команда | ||
+ | ethtool -s eth0 wol g | ||
+ | |||
+ | ==== Для включения питания выполнить на управляющем компьютере ==== | ||
+ | |||
+ | wol 10: | ||
+ | или | ||
+ | ether-wake -i eth0 10: | ||
+ | //eth0// - интерфейс управляющей машины через который будет послан Magic пакет.\\ | ||
+ | // | ||
+ | (Об ether-wake взято [[http:// | ||
+ | |||
+ | ==== Отключение питания (для Windows) ==== | ||
+ | |||
+ | net rpc shutdown /p /d P:01:01 /f -I 192.168.21.11 -U UserName%Password | ||
+ | |||
+ | UserName должен иметь права на выключение компьютера с Windows. | ||
+ | |||
+ | ===== Подключение SIP телефона Gigaset C530A IP в сети POWERNET ===== | ||
+ | |||
+ | [[http:// | ||
+ | |||
+ | ==== Состояние до подключения. ==== | ||
+ | Провайдером выделяется пользователю несколько приватных IP адресов в сети 10.xxx.xxx.xxx. Адреса раздаются по DHCP с возможностью привязки к MAC адресам устройств. | ||
+ | | ||
+ | Приватные IP адреса провайдер, | ||
+ | |||
+ | Несмотря на возможность подключения нескольких устройств без маршрутизатора, | ||
+ | |||
+ | От провайдера маршрутизатор получает адрес 10.xxx.xxx.xxx по DHCP. Для " | ||
+ | |||
+ | **SIP телефон имеет адрес из сети 192.168.xxx.xxx. Подключен к SIPNET.RU и работает без проблем.** | ||
+ | |||
+ | Правила IPTABLES на маршрутизаторе ("/ | ||
+ | | ||
+ | *filter | ||
+ | :INPUT ACCEPT [0:0] | ||
+ | :FORWARD ACCEPT [0:0] | ||
+ | :OUTPUT ACCEPT [0:0] | ||
+ | | ||
+ | -A INPUT -m state --state ESTABLISHED, | ||
+ | | ||
+ | # SIP | ||
+ | -A INPUT -p tcp --dport 60000:60099 -j ACCEPT | ||
+ | -A INPUT -p udp --dport 60000:60999 -j ACCEPT | ||
+ | -A INPUT -p udp --dport 16384:16482 -j ACCEPT | ||
+ | -A INPUT -p udp --dport 5060 -j ACCEPT | ||
+ | -A INPUT -p tcp --dport 5060 -j ACCEPT | ||
+ | | ||
+ | *nat | ||
+ | :OUTPUT ACCEPT [0:0] | ||
+ | :PREROUTING ACCEPT [0:0] | ||
+ | | ||
+ | -A POSTROUTING -m iprange --src-range 192.168.xxx.aaa-192.168.xxx.bbb -o eth1 -j MASQUERADE | ||
+ | |||
+ | eth0 - Имеет IP 192.168.aaa.bbb, | ||
+ | eth1 - Имеет IP из 10.xxx.xxx.xxx, | ||
+ | Строка "-A INPUT -p udp --dport 16384:16482 -j ACCEPT" | ||
+ | |||
+ | Маршрут по умолчанию на маршрутизаторе установлен на шлюз провайдера (" | ||
+ | Destination | ||
+ | 0.0.0.0 | ||
+ | |||
+ | Модуль ядра " | ||
+ | |||
+ | ==== Подключение SIP аккаунта POWERNET и возникшие проблемы. ==== | ||
+ | |||
+ | Провайдером была предоставлена подробнейшая документация по подключению телефона данной модели к их сети. Никаких специфичных настроек не предусматривается. Предоставлено имя пользователя, | ||
+ | |||
+ | При звонке с SIP телефона, | ||
+ | |||
+ | Судя по ошибке 503, сервер отказывает в соединении. Попытки проброса портов SIP сигнализации и медиа ничего не дали. В конце концов телефон был подключен напрямую к сети провайдера. Получив IP адрес вида 10.xxx.xxx.xxx телефон зарегистрировался, | ||
+ | |||
+ | ==== Решение. ==== | ||
+ | |||
+ | Возникло подозрение, | ||
+ | |||
+ | При анализе трафика tcpdump-ом, | ||
+ | |||
+ | Рассматривалось несколько вариантов решения: | ||
+ | |||
+ | Информация о том, как использовать устройство с IP адресом не принадлежавшим конкретной сети найдено [[http:// | ||
+ | |||
+ | * В " | ||
+ | * Для включения "proxy arp" и установки маршрута, | ||
+ | | ||
+ | if [ " | ||
+ | echo 1 > / | ||
+ | ip r a 10.aaa.bbb.ccc dev eth0 | ||
+ | fi | ||
+ | eth1 - провайдер, | ||
+ | * Для отключения маршрута при отключении eth1, на маршрутизаторе, | ||
+ | | ||
+ | if [ " | ||
+ | ip r d 10.aaa.bbb.ccc dev eth0 | ||
+ | fi | ||
+ | |||
+ | Теперь после " | ||
+ | |||
+ | Destination | ||
+ | 10.aaa.bbb.ccc | ||
+ | |||
+ | * Устанавлимаем " | ||
+ | |||
+ | Тип IP-адреса: | ||
+ | IP-адрес: | ||
+ | Маска подсети: | ||
+ | Стандартный шлюз: | ||
+ | Предпочитаемый DNS-сервер | ||
+ | Альтернативный DNS-сервер | ||
+ | |||
+ | ==== Что в итоге. ==== | ||
+ | |||
+ | - Не надо приобретать дополнительный свич, переносить базу телефона, | ||
+ | - База телефона осталась на своём месте, никакие переподключения не производились. | ||
+ | - На телефоне IP адрес провайдера, | ||
+ | - " | ||
+ | - SIPNET.RU работает, | ||
+ | - Доступ к WEB интерфейсу телефона работает из " | ||
+ | |||
+ | ====== VSFTPD ====== | ||
+ | |||
+ | ===== Добавить пользователя VSFTPD ===== | ||
+ | useradd -n user1 -d / | ||
+ | passwd user1 | ||
+ | |||
+ | **user1** - Имя добавляемого пользователя.\\ | ||
+ | **/ | ||
+ | |||
+ | ===== Включить протокол FTPS в VSFTPD ===== | ||
+ | |||
+ | Создание самоподписанного сертификата на 10 лет: | ||
+ | openssl req -x509 -nodes -days 3650 -newkey rsa -keyout / | ||
+ | |||
+ | В "/ | ||
+ | ssl_enable=YES | ||
+ | allow_anon_ssl=NO | ||
+ | force_local_data_ssl=YES | ||
+ | force_local_logins_ssl=YES | ||
+ | rsa_cert_file=/ | ||
+ | implicit_ssl=YES | ||
+ | listen_port=990 | ||
+ | |||
+ | В клиентах установить " | ||
+ | |||
+ | [[https:// | ||
+ | |||
+ | ==== Виртуальные пользователи ==== | ||
+ | |||
+ | yum -y install compat-db | ||
+ | В / | ||
+ | guest_enable=YES | ||
+ | guest_username=ftp | ||
+ | virtual_use_local_privs=YES | ||
+ | user_sub_token=$USER | ||
+ | local_root=/ | ||
+ | |||
+ | Сохраняем оригинальный / | ||
+ | cp / | ||
+ | А в новый / | ||
+ | auth required pam_userdb.so db=/ | ||
+ | account required pam_userdb.so db=/ | ||
+ | session required pam_loginuid.so | ||
+ | В / | ||
+ | user1 | ||
+ | passwd1 | ||
+ | user2 | ||
+ | passwd2 | ||
+ | Создаём базу пользователей и паролей: | ||
+ | db_load -T -t hash -f / | ||
+ | Устанавливаем владнльца на папки пользователей: | ||
+ | chown -R ftp. / | ||
+ | |||
+ | {{: |