852 ответов в теме

[Tir]

Ты только что спровоцировал экспоненциальный рост числа тех, кто когда-либо видел слово dwm.

Кто второй?

[korumis]

Microsoft интегрирует в Windows 10 операционную систему Ubuntu

http://www.overclock...emu-ubuntu.html

https://blogs.window...ntu-on-windows/

 

[Mersia]

Поставил себе KVM и libvirt

 

У libvirt есть 2 особенных rule которые он добавляет к существующему iptables:

-A FORWARD -o virbr0 -j REJECT --reject-with icmp-port-unreachable

-A FORWARD -i virbr0 -j REJECT --reject-with icmp-port-unreachable

 

Я поставил в init.d еще 1 скрипт на дописывание нужных мне rules в iptables.

Но мне важно, чтоб 2 вышеупомянутых rule всегда были в конце списка(иначе они все блокируют), и потому я в свой скрипт добавил 4 команды:

# первые 2 команды удаляют уже существующие в iptables rules
iptables -D FORWARD -o virbr0 -j REJECT --reject-with icmp-port-unreachable
iptables -D FORWARD -i virbr0 -j REJECT --reject-with icmp-port-unreachable

# cледующие 2 команды добавляют в iptables rules, которые я ранее удалил, но так чтоб они оказались в конце списка, а не в середине или начале как оно было до удаления
iptables -A FORWARD -o virbr0 -j REJECT --reject-with icmp-port-unreachable
iptables -A FORWARD -i virbr0 -j REJECT --reject-with icmp-port-unreachable

первые 2 работать отказываются. Ничего не удаляется из существующего списка, но зато отлично срабатывают 3-я и 4-я команды.

Почему так получается и как это исправить?

 

 

А так же, может ли кто-то посоветовать супер дешевое/бесплатное решение для mail-relay сервера, которое автоматически отфильтровывает весь спам?

 

---------------------

И на правах рекламы, ищется для работы по удаленке на полный рабочий день 9/5 сисадмин со знанием windows server, линукс и английским языком. Оплата от 600 долларов.

Сообщение отредактировал Mersia: 09 May 2016 - 23:00

[Slotos]

iptables -I FORWARD whatever
 
-I, --insert chain [rulenum] rule-specification
Insert one or more rules in the selected chain as the given rule number. So, if the rule number is 1, the rule or rules are inserted at the head of the chain. This is also the default if no rule number is specified.

Либвирт [пере]добавляет правила при поднятии виртуалок. Не смотря на ненависть крашношапых к неплатящему юзеру, хак-хук тоже имеет место быть.

 

 

А так же, может ли кто-то посоветовать супер дешевое/бесплатное решение для mail-relay сервера, которое автоматически отфильтровывает весь спам?

Дёшево, быстро, качественно. Выбирай любые два варианта.

Лучше ищи человека, у которого есть связка, на которой он собаку съел. А то из бесплатного конфигураций пять собирается ещё до выбора конкретных имплементаций. Ну и 100% отсева не будет. Более того, будет отсев легитимной почты. Так что обучение по перемещению в спам будет лучше всего.

 

PS: Я серьёзно про "собаку съел". Я, к примеру, такое не подниму. С последнего прода прошло восемь лет. Когда я последний раз для интереса обновлял знания - послал всё нахрен на третьем или пятом часу. Проблема выбора с наскоку выглядит нерешаемой.

[Mersia]

Либвирт [пере]добавляет правила при поднятии виртуалок. Не смотря на ненависть крашношапых к неплатящему юзеру, хак-хук тоже имеет место быть.

Делал я хуки(использовал именно тот что ты скинул в ссылке). Этот скрипт багованный, он дважды дублирует каждый rule который я вписываю в скрипт (вот мое обращение на serverfault http://serverfault.c...tes-in-iptables)

Так же скрипт открывает полный доступ со всего мира к указанным в нем серверам, например открывает всем 22 порт. Так что мне это не подходит. Самым простым стал вариант создания своего "тупо-скрипт" который выполняет несколько команд при буте системы.

Но мой скрипт почему-то не удаляет (-D) существующие rule.

 

 

Дёшево, быстро, качественно. Выбирай любые два варианта.

Мне нужно дешево и качественно, но не обязательно быстро. Я готов сидеть сколько потребуется, чтоб поднять это дело.

Уже имею опыт поднятия большого проекта на линухе(SuiteCRM), занял 2 месяца зараза, чтоб перенести компанию, которая 10 лет была на другом CRM.

 

Ну и 100% отсева не будет. Более того, будет отсев легитимной почты. Так что обучение по перемещению в спам будет лучше всего.

100% отсева не существует ни у кого, для этого есть blacklist. Просто дай мне название дешевого и качественного решения, а я уже сам решу/нагуглю че с ним делать.

На счет работы с линукс мы тоже не переживаем. Надо будет - найдем еще 1 человека, готового поддерживать существующие сервисы.

Раз из-за меня, наша компания подсела на иглу линукса, и уже без линуксойда 24/7 никак, значит будем дальше это дело развивать.

Сообщение отредактировал Mersia: 10 May 2016 - 12:45

[alex666]

Но мой скрипт почему-то не удаляет (-D) существующие rule.

до удаления сдампи текущие настройки iptables -L
и смотри по колонкам чего пропустил чтобы утилита однозначно идентифицировала правило

[Mersia]

до удаления сдампи текущие настройки iptables -L
и смотри по колонкам чего пропустил чтобы утилита однозначно идентифицировала правило

добавил я в скрипт команду

 iptables -L

это не помогло. Да и команда -L не делает дампы, она просто выводит результат в более-менее понятной форме. Хотя лично я люблю использовать 

iptables -S

 и 

iptables -S -t nat

Сообщение отредактировал Mersia: 10 May 2016 - 16:27

[AVE]

добавил я в скрипт команду
это не помогло

Ты правда не понял что от тебя хотят или притворяешься? Тебя попросили сдампить в файлик правила, чтобы посмотреть, существуют ли там удаляемые правила, или они по другому немного выглядят и поэтому не попадают под удаление. В скрипт надо добавлять, потому что интересует состояние таблицы именно на момент "перед удалением".

Сообщение отредактировал AVE: 10 May 2016 - 18:48

[Mersia]

Ты правда не понял что от тебя хотят или притворяешься? Тебя попросили сдампить в файлик правила, чтобы посмотреть, существуют ли там удаляемые правила, или они по другому немного выглядят и поэтому не попадают под удаление. В скрипт надо добавлять, потому что интересует состояние таблицы именно на момент "перед удалением".

Извини, я и в правду не понял тебя.

Понимаешь, проблема в том что скрипт работает при буте системы, без моего участия и так "за кадром", где я ничего не могу увидеть.

#! /bin/sh
# chkconfig: 2345 51 51

Я не понял, каким образом я могу тебе дать output этой команды в процессе бута, если ты видишь такой вариант, скажи мне, я без проблем это сделаю.

 

Скрипт был так поставлен в очередь на исполнение, чтоб срабатывать уже после того как сформируется iptables и сработает libvirt. И судя по тому что я вижу, так оно и получается, единственное "Но" это эти 2 строки, которые не удаляются.

Сообщение отредактировал Mersia: 10 May 2016 - 19:50

[AVE]

Есть же стандартная возможность перенаправления stdout в файл. Можно через пайпу (|), можно напрямую (>).

[Slotos]

Так же скрипт открывает полный доступ со всего мира к указанным в нем серверам, например открывает всем 22 порт. Так что мне это не подходит. 

Потому что он именно такие правила и прописывает. Под себя править надо.

Ну и -I ключ по религиозным причинам не юзаешь? Я даже выжимку из мана кинул.

 

По почтовику - нету бесплатных интегрированных решений. Есть компоненты и пачка вариантов их компоновки в цельную систему.

[Mersia]

Есть же стандартная возможность перенаправления stdout в файл. Можно через пайпу (|), можно напрямую (>).

Спасибо, добавил в команду stdout. Сегодня вечером, когда ни кто не будет работать, перезагружу сервер и проверю что там происходит.

[climp]

del 

Сообщение отредактировал climp: 17 May 2016 - 13:53

[Mersia]

до удаления сдампи текущие настройки iptables -L
и смотри по колонкам чего пропустил чтобы утилита однозначно идентифицировала правило

проверка показала, что libvirt начинает переписывать iptables уже после того как активируется мой скрипт из init.d

Как это дело исправить?

Сообщение отредактировал Mersia: 17 May 2016 - 21:09

[Infine]

проверка показала, что libvirt начинает переписывать iptables уже после того как активируется мой скрипт из init.d

Как это дело исправить?

Наверное, это зависит от системы инициализации/дистрибутива?

Если оно с systemd. то тебя интересуют слова Wants и After у нового юнита. Если оно SystemV (ну или DebianLSB во всяком случае), то нужно #Requires-start или как-то так (rc.local идет с Requires-start: $all и по-идее запускается последним, емнип). В апстарте вообще какая-то своя фигня.

Можно палочкой потыкать в стартовый скрипт самого libvirt, в принципе.'

 

EDIT: https://www.libvirt.org/hooks.html

Сообщение отредактировал Infine: 18 May 2016 - 9:52

[Mersia]

Всем спасибо за поддержку, проблема была решена немного другим способом.

 

Т.к. работаю я с CentOS7, и init.d там стоит как рудимент, а основным является systemd. То я создал сервис в systemctl и этот сервис привязал к своему скрипту. Ну и конечно прописал в этом сервисе, чтоб он запускался после libvirtd.service

Даже это не помогло, все равно при активации моего скрипта, на тот момент времени либвирт еще не успел добавить своих 2 злопакостных правила.

Тогда я вписал в свой скрипт, в самое начало sleep 60. Это действие уже помогло.

[Mersia]

Для моих тестов, мне надо развести начальство на установку виртуального е-мейл сервера с хорошим антиспам фильтром и, желательно, функцией mail relay.

Вы можете посоветовать мейл сервер с техподдержкой и ценой за юзера не больше 2 баксов в месяц (начиная со 100 суммарных юзеров)? И, желательно, чтоб через год, при продлении контракта, юзер стоил не больше 1 бакса.

 

От себя могу посоветовать, как прокси с веб фильтром, отлично и очень дешево работает kerio controll

Сообщение отредактировал Mersia: 04 June 2016 - 15:23

[Infine]

От себя могу посоветовать, как прокси с веб фильтром, отлично и очень дешево работает kerio controll

А шо умеет этот веб-фильтр? Звонить куда следует по слову "бомба" на веб-станице умеет? Транспарент https прокси с контент-фильтром умеет?

[Mersia]

Транспарент https прокси с контент-фильтром умеет?

может он тебе еще и минет должен делать?)

[Infine]

может он тебе еще и минет должен делать?)

Ну я делал как-то для теста на связке squid+dansguardian, оно даже работало. Если не считать ругани от клиентов на подмену сертификата. Хотя вопрос, в принципе, решается добавлением доверенного корневого сертификата в домене.

 

Просто в нынешних реалиях, когда даже бложик васи пупкина по https, простой хттп контент-фильтр это как-то безысходно.

Сообщение отредактировал Infine: 06 June 2016 - 20:37