Re: Разграничение под сетей

[Dmitriy Sirant]

Akkerman пишет:
Спасибо откликнувшимся. Сейчас они "как бы" не видят друг друга. Буду 
пожалуй курить в сторону VPN`а.



Помоему в данной ситуации правильней всетаки копать в сторону VLAN, VPN 
тут всетаки overhead.



--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Offtop

[Dmitriy Sirant]

Извините за оффтоп, но интересно, человека уволили или поломали учетную 
запись RIPE.


whois 92.112.96.1

Как никак администратор крупнейшего государственного провайдера Украины.


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: DSA-1571-1

[Dmitriy Sirant]

Roman Cheplyaka пишет:

Мне вот что интересно:

For the unstable distribution (sid) and the testing distribution
(lenny), these problems have been fixed in version 0.9.8g-9.

А в /usr/share/doc/openssl/changelog.Debian.gz об уязвимости ни слова:

  [ Kurt Roeckx ]
  * ssleay_rand_add() really needs to call MD_Update() for buf.


А это не оно ? ^^^


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: iproute + backup isp

[Dmitriy Sirant]

Покотиленко Костик пишет:

В Вто, 27/05/2008 в 17:12 +0400, Peter Teslenko пишет:

Ed wrote:

провайдер "умереть" может по-разному. сеть провайдера может жить, а 
внешний канал умереть (и это не так уж редко бывает). не говоря уже про 
более хитрые ситуации - аплинк провайдера перегружен, у провайдера 
проблемы со связностью, 


решение в лоб - создать список из нескольких серверов в интернете и 
проверять доступность по нему. на хочется красиво ;)

Вот, собственно, это я и мел ввиду. Удалось найти изящное решение?
Что-то мне кажется что для этого нужно поднимать ospf или bgp.


Чем поможет bgp? Доверять bgp провайдера, проблемы которого им
планируется решить, не глупо-ли?



Если требуется обеспечить балансировку/избыточность между Вами и 
провайдером - OSPF, если между Вами и "Интернетом" - то Вам надо как 
минимум 2 провайдера, PI и AS и поверх всего этого BGP.



--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: iproute + backup isp

[Dmitriy Sirant]

Eugene Berdnikov пишет:

On Tue, May 27, 2008 at 08:15:40PM +0300, Dmitriy Sirant wrote:
решение в лоб - создать список из нескольких серверов в интернете и 
проверять доступность по нему. на хочется красиво ;)

Вот, собственно, это я и мел ввиду. Удалось найти изящное решение?
Что-то мне кажется что для этого нужно поднимать ospf или bgp.

Чем поможет bgp? Доверять bgp провайдера, проблемы которого им
планируется решить, не глупо-ли?
Если требуется обеспечить балансировку/избыточность между Вами и 
провайдером - OSPF, если между Вами и "Интернетом" - то Вам надо как 
минимум 2 провайдера, PI и AS и поверх всего этого BGP.


 Насчёт 2 провайдеров понятно: одним ни балансировку, ни избыточность
 не сделать, :) а зачем PI, AS и BGP -- я бы с удовольствием послушал.
 Особенно в плане балансировки.


:) Я бы тоже с удовольствием послушал... Дело в том, что насколько я 
понимаю - это целая наука или даже отдельная профессия по крайней мере в 
понимании Cisco - Traffic Engineering. Для себя я сделал вывод, что это 
решение для меня подходит больше как резервирование "интернета" и в 
меньшей степени как балансировка нагрузки. Балансировка работает по 
умолчанию по целой цепочке условий и если нужно изменить умолчательное 
положение дел - то приходиться удлинять as-path искуственно в сторону 
одного из аплинков. Другого способа я ненашел, а так как этот очень 
геморный, то от него тоже отказался (подрегулировал только то что 
необходимо для ip-телефонии, игровых серверов и т.п., все остальное по 
умолчанию).


К сожалению мои знания в этой области весьма поверхностны, лишь то с чем 
пришлось столкнутся самому.



--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: iproute + backup isp

[Dmitriy Sirant]

Oleg Anisimov (Олег Анисимов) пишет:

Ed пишет:

Nicholas wrote:
Вы правы. Вот сейчас поизучал инструкции - вроде бы можно быть "End 
user" и получить AS.



только вот начинать надо с поиска провайдеров, которые захотят 
поднимать BGP-сессию с мелким клиентом




Кого считать мелким? Например наша контора (ISP) имеет
свою AS, два PI блока /22 и один /21. И два магистрала
вполне себе принимают от нас BGP анонсы этих блоков.
Другой вопрос, что "политика партии" крайне не рекомендует
анонсировать сети менее /23



Но побольшому счету и это делают (прецеденты были).


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: О биллинге СмартАСР

[Dmitriy Sirant]

Alexey Pechnikov пишет:

В сообщении от Tuesday 01 July 2008 10:41:16 Dmitry Telegin написал(а):

Извиняюсь, что офтопик, но может кто сталкивался со
СмартАСР, интересуют мнения об этой системе.
http://academsoft.ru/rus/SmartASR/
Билингисты предлагают закупить её и у меня есть
некоторое время на то чтоб тормознуть эту затею.
Может у кого-то используется хорошая биллинговая
система - буду рад узнать.


Прочитал описание системы, в составе нет такакс-сервера, значит будут проблемы 
с подключением оборудования для телефонии. Как предполагается логировать 
информацию о звонках, мне непонятно. Насколько мне известно, NetFlow 
используется только для логирования интернет-трафика.





Как уже писалось в другой ветке - radius _умеет_ и _делает_ accounting.


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Tacacs+ сервер

[Dmitriy Sirant]

Alexey Pechnikov пишет:

В сообщении от Tuesday 01 July 2008 16:44:43 Andrey Melnikoff написал(а):

А можно поинтересоваться - почему благородных донов не устраивает radius ?
На свой фирменный протокол tatacs cisco забило болт уже как лет 8, и всё
что умело в то время tacacs давно научилось radius.



Кстати, радиус только UDP умеет или можно через TCP прикрутить? UDP для 
телефонии не годится, потеря 5% это кирдык статистике.





Ммм... а у Вас access server и billing (radius) териториально разнесены 
? Даже если да, то в радиусе есть настройки таймаута и количество 
повторных отправок данных, поэтому вероятность потери стремится к нулю 
(я надеюсь).



--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Backup

[Dmitriy Sirant]

Oleg Frolkov пишет:
Приветствую. Возможно тема тут поднималась, а существует-ли в природе 
фришный проект централизованного бэкапа
linux/windows с использованием шифрования с открытым ключем? Из того что 
есть пока самым приемлемым видится
Backuppc но вот шифрования он не умеет. Как вариант fsbackup на Linux и 
cobian backup на Windows но вот восстановление с них это отдельная 
головная боль.


Олег.



bacula ?


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: О биллинге СмартАСР

[Dmitriy Sirant]

Alexey Pechnikov пишет:

Как уже писалось в другой ветке - radius _умеет_ и _делает_ accounting.


Радиус умеет, но не все железо способно делать аккаунтинг через радиус. Как 
мне подсказали, as5300 умеют через радиус, однако есть и "более другое" 
оборудование. Если планируется использовать только циски то, по-видимому, 
проблем быть не должно.




Я извиняюсь, а можно пример оборудования (наименование, модель), которое 
умеет tacacs accounting но при этом не умеет radius accounting ? Это для 
себя, для общего развития... Просто сам такое не встречал.



--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Tacacs+ сервер

[Dmitriy Sirant]

Alexey Pechnikov пишет:


коллектор, а не через радиус на коллектор.

У вас замутнен разум. netflow и radius это две разные разницы а не "муж и
жена" (C)


А разве ваш радиус отдает логи не в формате NetFlow? Сама циска их шлет как 
раз в NetFlow?




Ммм... нет. Netflow - дамп трафика всего. Radius accounting зависит от 
девайса который посылает данный акаунтинг, например вот что при 
терминации pppoe приходит в аккаунтинге:


Это данные на начало сессии:

Wed Jul  2 09:12:41 2008 

Acct-Session-Id = "C1EE740900052027" 

Cisco-AVPair = "client-mac-address=0002.2db5.2a58" 

Framed-Protocol = PPP 

User-Name = "bulgag36" 

Cisco-AVPair = "connect-progress=Call Up" 

Acct-Authentic = RADIUS 

Acct-Status-Type = Start 

NAS-Port-Type = 5 

Attr-9-2 = "0/0/0/109" 

NAS-Port-Id = 0 

Service-Type = Framed-User 


NAS-IP-Address = 193.238.x.x
Attr-55 = "Hk\034Y" 

Acct-Delay-Time = 0 

Client-IP-Address = 193.238.x.x 

Timestamp = 1214979161 


Request-Authenticator = Verified

Это уже alive пакет, которые посылаются каждые n сек.

Wed Jul  2 09:17:26 2008 

Acct-Session-Id = "C1EE740900052027" 

Cisco-AVPair = "client-mac-address=0002.2db5.2a58" 

Framed-Protocol = PPP 


Framed-IP-Address = 193.238.x.x
User-Name = "bulgag36" 

Cisco-AVPair = "connect-progress=LAN Ses Up" 

Cisco-AVPair = "nas-tx-speed=1" 

Cisco-AVPair = "nas-rx-speed=1" 

Acct-Session-Time = 285 

Acct-Input-Octets = 124239 

Acct-Output-Octets = 333248 

Acct-Input-Packets = 1261 

Acct-Output-Packets = 1199 

Acct-Authentic = RADIUS 

Acct-Status-Type = Alive 

NAS-Port-Type = 5 

Attr-9-2 = "0/0/0/109" 

NAS-Port-Id = 0 

Service-Type = Framed-User 

NAS-IP-Address = 193.238.x.x 

Attr-55 = "Hk\035v" 

Acct-Delay-Time = 0 

Client-IP-Address = 193.238.x.x 

Timestamp = 1214979446 


Request-Authenticator = Verified

Потом еще есть stop пакет, где финальные данные по сессии, его искть 
сейчас влом, но он содержит в принципе туже информацию что и alive.



--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Backup

[Dmitriy Sirant]

Покотиленко Костик пишет:

В Вто, 01/07/2008 в 22:36 +0300, Dmitriy Sirant пишет:

Oleg Frolkov пишет:
Приветствую. Возможно тема тут поднималась, а существует-ли в природе 
фришный проект централизованного бэкапа
linux/windows с использованием шифрования с открытым ключем? Из того что 
есть пока самым приемлемым видится
Backuppc но вот шифрования он не умеет. Как вариант fsbackup на Linux и 
cobian backup на Windows но вот восстановление с них это отдельная 
головная боль.


Олег.


bacula ?


под этот если не ошибаюсь есть клиент под винду.




И более того он даже работает :)
Но как мне показалось, немного сложновата идеология для понимания, но 
есть русский мануал (перевод) где описываются основные идеи и концепции.


P.S. Стоит полгода работает - полет нормальный. Уже пробовал и поднимать 
даныне из бэкапа. Debian - server, 2 x Win2003 клиенты.



--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: squid3 +ldap

[Dmitriy Sirant]

Vitaliy Nosov пишет:

   Все работает нормально. Натолкнулся на способ с использованием 
winbind, kerberos и ntlm_auth. Его достоинство вижу в том, что
происходит реальная аутентификация и не получится, зная логин 
пользователя, подсунуть его fakeauth'у и пользовать интернет от чужого 
имени.


Если настроено через ntlm_auth и пользователь является членом группы 
internet (нет смысла это городить для всех пользователей AD, удобней 
когда пускает только членов определенной группы), то при входе в 
интернет у него не будет выскакивать даже сообщение о том, что надо 
ввести пароль. Но если этот пользователь не является членом группы 
интернет - то такое окошко выскочит и в него можно ввести логин/пароль 
того человека который в группе internet и его пустит.


Недостаток - использование самбы и не знаю насколько стабильно оно 
работает.


Работает без всяких проблем.

   Какие еще есть достоинства у варианта с самбой? Какой из вариантов 
использовать правильнее и надежнее?




Незнаю :(


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: кол-во писем в ди ректории thunderbird

[Dmitriy Sirant]

Kushner Anatoliy пишет:
Может кто подскажет есть ли в природе addon для thunderbird который 
показывал бы не только кол-во непрочитанных сообщений, но и общее(или 
прочитанных) колво сообщений в каждой директории ?



А строчка "Всего: " в правой нижней части главного окна Вас не 
устраивает ?



--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: APT and GIT (VCS) integration

[Dmitriy Sirant]

Andrey Nikitin пишет:

Здравствуйте.

В очередной раз, обновляя десятки и сотни мегабайт пакетов,
в которых сделаны правки в жалких (по размеру) 1-2 файлах,
возник вопрос: а нет ли какого движения у разработчиков APT 
в сторону интеграции APT с VCS, а именно с VCS #1(скорость/возможности) - git?




Дальше только мое личное мнение:

На сегодняшний день Debian всетаки позиционируется как серверный 
дистрибутив. Ну не верю я, что в том месте где стоит сервер есть такие 
сильные требования по ограничению траффика.


Если они есть - то понятие сервер и testing/unstable - не очень 
соответствуют друг другу, а если это security update - то опять таки это 
полезный для сервера траффик.


Если же вы разработчик/пользователь - то тогда действительно сидеть на 
testing имеет смысл, но тут уж надо решить для себя, то-ли качать 
обновления каждый день и не смотреть на траффик, толи делать это раз в 
неделю и предварительно ставить на hold те пакеты, которые изменились 
только несколько неважных для Вас файлов (policy, etc...) Такие 
изменения можно отслеживать через соответствующую -dev рассылку.


Ну и плюс растущая из года в год пропускная способность магистральных 
каналов + утолщение каналов к конечному потребителю + снижение цен на 
доступ в интернет (ну не верю я что это везде так дорого, сам с Украины, 
не областной центр, цены адекватные). Все вышеперечисленые факторы 
делают поиск решение а тем более написание такой системы как Вы 
описывете неперспективным.


Еще раз повторюсь, что это мое личное мнение...


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: тачпад на eee pc 900

[Dmitriy Sirant]

Sergei Stolyarov пишет:


скролл двумя пальцами — это неудобно для меня.


Да, всетаки привычка - великая сила. Я как пользователь мака придставить 
себе немогу (правильнее будет сказать, пользуясь другим ноутбукам 
чувствую дискомфорт) отсутствие возможности скрола двумя пальцами :)



--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: два интерфейса

[Dmitriy Sirant]

Mikhail Gusarov пишет:

You ([EMAIL PROTECTED]) wrote:

 AP> В варианте как предлагал Артём, было очевидно, что модули надо
 AP> записать в /etc/modules.

Только udev, hotplug, discover или кто-нибудь ещё модули загрузит
раньше, чем до /etc/modules дело дойдёт.



Совершенно верно, но я гораздо лучше знаю что у меня на сервере стоит и 
поэтому на сервере нет и не будет udev, hotplug, discover. Я 
оборудование на сервере так часто не меняю, чтобы забыть новое прописать 
в /etc/modules. Вариант о котором сказал Артем отлично работает у меня 
начиная с Redhat 4.2 и по сей день (Debian Sarge).



--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

debian-russian@lists.debian.org

[Dmitriy Sirant]

Как Вас научить создавать новое письмо при написании в рассылку а не 
отвечать на существующее. Если я вижу письмо в теме "debian пиво" то я 
расчитываю именно на эту тему, а не на обсуждение Thunderbird.


По теме вопроса - сертификат имеет правильную дату, правильное имя 
сервера и подписан (хотябы сам у себя) ? У меня ответы на все эти 
вопросы да, и каждый раз подтверждение сертификата не требуется.

Читать: http://www.debian-administration.org/articles/284

Nicholas пишет:

Как отключить подтверждение о принятии ssl сертификата в Thunderbird.

Мой mail сервер использует ssl сертификат. Каждый раз при запуске 
Thunderbird от спрашивает доверяю я ли этому сертификату. Сертификат 
зарегестрирован  в edit/preferens/advanced/sertificates/Manage 
sertificates/Web sites.


Таки я доверяю, и не хочу чтоб меня об этом больше спрашивали. Как?




--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Откуда айпишник?

[Dmitriy Sirant]

Я не уверен, но не должно ли в /etc/network/interfaces стоять такая строка:
auto eth0
перед
iface eth0 inet static
address 172.18.12.17
netmask 255.255.0.0
gateway 172.18.255.254


Serhiy Kachanuk пишет:

Привет всем!

Недавно обнаружил следующую ситуацию:
#cat /etc/network/interfaces
iface eth0 inet static
address 172.18.12.17
netmask 255.255.0.0
gateway 172.18.255.254

Но ifconfig показывает совсем другой айпишник:
#ifconfig
eth0  Link encap:Ethernet  HWaddr 00:07:E9:49:8B:BA
  inet addr:169.254.9.48  Bcast:0.0.0.0  Mask:255.255.0.0
  inet6 addr: fe80::207:e9ff:fe49:8bba/64 Scope:Link
  UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
  RX packets:208652 errors:0 dropped:0 overruns:0 frame:0
  TX packets:188174 errors:0 dropped:0 overruns:0 carrier:0
  collisions:0 txqueuelen:1000
  RX bytes:50416910 (48.0 MiB)  TX bytes:14580814 (13.9 MiB)

Если спросить у DNS:
#host prog-17
prog-17.zstal.priv has address 169.254.9.48
prog-17.zstal.priv has address 172.18.12.17

Вопрос: откуда берется этот 169.254.9.48, как его можно убрать? В принципе на 
работе мне это не мешает, но дома у меня в /etc/network/interfaces прописана 
маска 255.255.255.0, а оно мне ставит 255.255.0.0 и я не могу лазить по 
самбовым шарам в нашей домашней сетке. Если сделать несколько раз 
ifup/ifdown, то ifconfig начинает выдавать то, что прописано 
в /etc/network/interfaces и после этого нормально можно ходить по самбовым 
шарам





--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

вопрос по bind

[Dmitriy Sirant]

Добрый день

Есть вопросик. bind настроен отдавать только для своих клиентов ответы, 
а ломятся все кому не лень. Раньше не обращал внимания, но сегодня 
случился маленький DoS на bind. Кто как с этим борется ? Вот пример:


Jun 27 06:42:59 octavia named[863]: client 10.2.5.39#1025: query (cache) 
denied
Jun 27 06:43:03 octavia named[863]: client 10.2.5.39#1025: query (cache) 
denied
Jun 27 06:43:08 octavia named[863]: client 213.227.217.31#6682: query 
(cache) denied
Jun 27 06:43:09 octavia named[863]: client 213.227.217.31#1032: query 
(cache) denied
Jun 27 06:43:10 octavia named[863]: client 213.227.217.31#6611: query 
(cache) denied
Jun 27 06:43:12 octavia named[863]: client 213.227.217.31#6682: query 
(cache) denied
Jun 27 06:43:12 octavia named[863]: client 213.227.217.31#1032: query 
(cache) denied
Jun 27 06:43:13 octavia named[863]: client 213.227.217.31#6611: query 
(cache) denied
Jun 27 06:43:28 octavia named[863]: client 213.227.217.31#6682: query 
(cache) denied
Jun 27 06:43:30 octavia named[863]: client 213.227.217.31#6682: query 
(cache) denied
Jun 27 06:43:33 octavia named[863]: client 213.227.217.31#1032: query 
(cache) denied
Jun 27 06:43:42 octavia named[863]: client 213.227.217.31#6682: query 
(cache) denied
Jun 27 06:43:48 octavia named[863]: client 213.227.217.31#6682: query 
(cache) denied
Jun 27 06:43:52 octavia named[863]: client 10.2.5.39#1025: query (cache) 
denied
Jun 27 06:43:54 octavia named[863]: client 213.227.217.31#6682: query 
(cache) denied

Jun 27 06:44:25 octavia last message repeated 4 times
Jun 27 06:44:32 octavia named[863]: client 213.227.217.31#6682: query 
(cache) denied
Jun 27 06:44:34 octavia named[863]: client 213.227.217.31#1032: query 
(cache) denied
Jun 27 06:44:36 octavia named[863]: client 213.227.217.31#6611: query 
(cache) denied
Jun 27 06:44:36 octavia named[863]: client 213.227.217.31#6682: query 
(cache) denied
Jun 27 06:44:39 octavia named[863]: client 10.2.5.39#1025: query (cache) 
denied
Jun 27 06:44:43 octavia named[863]: client 10.2.5.39#1025: query (cache) 
denied
Jun 27 06:44:44 octavia named[863]: client 213.227.217.31#1032: query 
(cache) denied
Jun 27 06:44:46 octavia named[863]: client 213.227.217.31#1032: query 
(cache) denied
Jun 27 06:44:48 octavia named[863]: client 213.227.217.31#6682: query 
(cache) denied
Jun 27 06:44:57 octavia named[863]: client 213.227.217.31#1032: query 
(cache) denied
Jun 27 06:44:59 octavia named[863]: client 213.227.217.31#6682: query 
(cache) denied


Если сделать что-то типа:
iptables -P INPUT DENY
iptables -A INPUT -s хороший_ip -d bind_ip -p udp -dport 53 -j ACCEPT
то не повредит ли это работе bind ? ведь корневые сервера я все не могу 
постоянно прописывать в iptables как -s хороший_ip ?


P.S. Подходит также решение на кошке закрыть, если есть варианты.

Спасибо


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Помогите с роутин гом

[Dmitriy Sirant]

Дело в том, что тебе не маршрутизация нужна, а NAT

На маршрутизаторе запусти команду
/sbin/iptables -t nat -A POSTROUTING -s 192.168.88.0/24 -o ppp0 -j 
MASQUERADE


и будет тебе счастье. Или установи прокси сервер.


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Помогите с роутин гом

[Dmitriy Sirant]

В его первом письме ни слова про то, для чего у него задействован ppp0.
Допускаю что это просто обыкновенный dial-out модем на провайдера, 
который и был
использован для того чтобы написать письмо прямо с linux-роутера через 
http://mail.ru

см. его таблицу роутинга.

81.25.36.1  0.0.0.0 255.255.255.255 UH0  00 
ppp0
0.0.0.0 0.0.0.0 0.0.0.0 U 0  00 
ppp0




Да, но в последующих письмах говорится что подключение pptp ADSL, я 
конечно допускаю, что pptp поднято на самом модеме, но может и нет...



--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: serial console server hardware [q]

[Dmitriy Sirant]

У меня есть мнение, что это overhead как по размерам так и по цене. Мне 
кажется легче купить 2 шт Cisco 2511 RJ каждая по 16 асинк портов на 
борту и получить полностью железную надежную консоль без головной боли и 
по 1U на 16 портов.


Alexander Burnos пишет:

Приветствую!

Поделитесь опытом, пожалуйста.

Есть необходимость сделать serial console сервер на топике портов на
16-32. В моем понимании все просто, берем serial мультипортовку, в нее включаем 
N
серверов, на серверах настраиваем консоль через serial, на самом serial
console сервере используем cu/minicom по вкусу для доступа.

Или есть какие-то нюансы, которые нужно учесть сразу?

Ну и собственно вопрос по сути, какую мультипортовку посоветуете? Есть
опыт работы с девайсом, который гарантированно заводится и не глючит под
топиком? Нужен девайс на >16 портов, но не проблема взять N девайсов по
(16/N) портов.

Спасибо!




--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: системный монитор инг в графиках

[Dmitriy Sirant]

Может я не умею его готовить, но лично мне cacti не понравился именно 
тем что кроме как рисовать картинки он
собственно ничего не умеет. а кто тебе на сотовый пришлет СМС о том 
что например диск скоро закончится?
Или о том что какой-то важный тебе процесс на машинке отсутствует в 
списке задач?


Для этих целей у cacti уже есть механизм plugins и кучка интересных 
готовых плагинов. У меня установлены следующие:

monitor - мониторит хосты активен/неактивен пингами

thresold - какие либо действия при достижении какого-то значения в 
наблюдаемом нами утройстве (места на диске меньше стольки-то, канал 
загружен > 90% и т.п.)


weathermap - рисует структуру сети с указанием загрузки каналов между ее 
нодами


В stable всего этого нет, в testing и ниже - незнаю. На stable 
приделывал все ручками.



--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Настройка логов по умо лчанию

[Dmitriy Sirant]

Добрый день

Имею сервер на который ставился woody, обновился до sarge.
Используется как почтовый postfix + courier + mysql + clamav + ...
Все логи по почте сыпятся как в /var/log/mail.log так и в /var/log/syslog.

Такое поведение по умолчанию. Вопроса 2 собственно, почему так (из каких 
размышлений) и изменилось ли в sarge (или etch) а у меня просто не 
изменило при обновлении ?


Спасибо


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: бакапы c венды

[Dmitriy Sirant]

ну или реорганизовать по другому бакапы


У себя для бекапа баз 1С с виндовых серверов пользуюсь bacula - доволен 
всем, кроме сложности понимания с первого раза ее идеологии. После 
частичного понимания - все стало на свои места.


P.S. bacula имеет windows агент, который и занимается бэкапом.


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Система билинга

[Dmitriy Sirant]

Ky6uk пишет:

Встал вопрос о поднятии и настройке билинговой системы..
Условия:
- Локальной сети, состоящей из 1к машин необходимо предоставлять доступ
в интернет через прокси-сервер.
- На каждую машину требуется выделять определенное количество
интернет-трафика в сутки.
- Для доступа в интернет необходима предварительная проверка на
достоверность пользователя (связка ip+mac с дополнительной авторизацией
в билинге). Если достоверность пользователя подтверждена и имеется
неиспользованный трафик - разрешить доступ в интернет.
- Детализация использования трафика.


Какую наиболее удачную связку при данных условиях можно использовать?




Офтопик: "каждый админ должен написать свой биллинг" (с) непомню

Типа смех сквозь слезы, т.к. ниодно решение не понравилось, чужой код 
дописывать - неполучилось, поэтому и написал свой биллинг... 
Переодически при необходимости что-то переделать возникает желание 
перейти на какое-то платное решение, но смотрю на знакомых воюющих с 
саппортом и радуюсь, что хоть в моем биллинге и криво все, но все эти 
кривости писал я и при необходимости могу поправить тоже я.



--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: конфиги пользоват еля и svn(?)

[Dmitriy Sirant]

Использую его везде, начиная с разработки, кончая конфигами, личными и
системными. В последнее время вообще загнал на всех серваках /etc в
darcs и раз в день синхронизирую изменения конфигов на backup-сервер.
Получается удобнее обычного бекапа, так как синхронизируются только
зафиксированные изменения, и я всегда могу узнать, что и когда
менялось.

На эту тему появился очень неплохой пакетик: etckeeper



В stable etckeeper нет, но нашел и поставил посмотреть metche - по 
описанию неплохо, буду использовать.



--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: конфиги пользоват еля и svn(?)

[Dmitriy Sirant]

Alexander GQ Gerasiov пишет:

На Mon, 21 Jan 2008 13:05:11 +0200
Dmitriy Sirant <[EMAIL PROTECTED]> записано:


Использую его везде, начиная с разработки, кончая конфигами,
личными и системными. В последнее время вообще загнал на всех
серваках /etc в darcs и раз в день синхронизирую изменения
конфигов на backup-сервер. Получается удобнее обычного бекапа, так
как синхронизируются только зафиксированные изменения, и я всегда
могу узнать, что и когда менялось.

На эту тему появился очень неплохой пакетик: etckeeper

В stable etckeeper нет, но нашел и поставил посмотреть metche - по 
описанию неплохо, буду использовать.

У меня есть бэкпортнутый. Правда требует git тоже из бэкпортов.



Я уже почитал про etckeeper это несколько другой инструмент чем metche и 
 под вышеописанную задачу больше подходит etckeeper. Мне же больше 
подходит metche, т.к. есть "из коробки" рассылка изменений в конфигах 
всем админам. Для меня это самое важное и уже второстепенное - это 
хранение истории изменений.



--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: [SOLVED] Ограничение максимальной скорос ти по IP

[Dmitriy Sirant]

Mikhail A Antonov пишет:

On 3 февраля 2008, Maxim Tyurin wrote:

 В тех домосетях что я видел использовалось
 OpenVPN/pptp/pppoe

 Последнее уже вроде никто не использует.

Использует. А вот от pptp отказываются.
Сети, где есть openvpn я вообще не видел.



Кстати, тоже считаю что в домашних сетях pppoe более приемлем, т.к. нет 
нужды в поднятии маршрутизации на серых сетях - как следствие весь 
траффик идет через наш терминирующий сервер (ну кроме пользователей 
предела одного сегмента которые подключены в свитч и то если смогут 
договорится и поднять серые IP сами).


Хотя если использовать layer3 свитчи + dhcp от cisco - то там можно 
обойтись и без pppoe, там вроде сам dhcp отключает пользователей, 
которым нельзя работать. Хотя точно как это реализовано незнаю, но у нас 
одну сетку на такое перевели, если будет интересно могу точнее узнать.



--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: [SOLVED] Ограничение ма ксимальной скорости п о IP

[Dmitriy Sirant]

Покотиленко Костик пишет:

В Пнд, 04/02/2008 в 12:46 +0200, Dmitriy Sirant пишет:

А вот интересно как это? Выдаем IP с маской /32 или/30 ?
Буду благодарен, если узнаешь подробнее.
Все оказалось опять на уровне костылей... Я почему-то думал, что там 
используются новые стандарты какие-то из RFC касательно DHCP.


Система простая. В биллинге хранится информация свитч - порт - мак-адрес 
- клиент. DHCP выдает статический серый IP согласно mac. Крутится 
софтинка, которая проверяет остаток денег и если он ниже определенного 
уровня посылает на свитч snmp команду port shutdown.


До этого все терминировалось в PPPoE на 7206 NPE2, но не тянуло больше 
3к клиентов. Как по мне, все это усугубляется тем, что внутренний 
траффик бесплатен (и что самое плохое незашейплен) и внутри сети народ 
делает что хочет. Естественно это разрулено по VLAN, но всеравно все 
открыто (всмысле клиент из одного VLAN видет клиента из другого VLAN и 
траффик бесплатен).


А какой тогда смысл в VLAN'ах?



Я думаю что для разделения на клиентов корпоративных и таких... сильно 
не вникал.



--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: [SOLVED] Ограничение максимальной скорос ти по IP

[Dmitriy Sirant]

А вот интересно как это? Выдаем IP с маской /32 или/30 ?
Буду благодарен, если узнаешь подробнее.


Все оказалось опять на уровне костылей... Я почему-то думал, что там 
используются новые стандарты какие-то из RFC касательно DHCP.


Система простая. В биллинге хранится информация свитч - порт - мак-адрес 
- клиент. DHCP выдает статический серый IP согласно mac. Крутится 
софтинка, которая проверяет остаток денег и если он ниже определенного 
уровня посылает на свитч snmp команду port shutdown.


До этого все терминировалось в PPPoE на 7206 NPE2, но не тянуло больше 
3к клиентов. Как по мне, все это усугубляется тем, что внутренний 
траффик бесплатен (и что самое плохое незашейплен) и внутри сети народ 
делает что хочет. Естественно это разрулено по VLAN, но всеравно все 
открыто (всмысле клиент из одного VLAN видет клиента из другого VLAN и 
траффик бесплатен).



--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: при ответе в расс ылку подставляется ад рес отправителя

[Dmitriy Sirant]

Евсюков Денис пишет:

Отвечал. Мне сейчас абсолютно одинаково удобно. Количество дейстий
абсолютно одинаковое, не считая лишнего нажатия на Shift, хотя это тоже
решамое:

r - ответить лично (возможно на Reply-To, если оно указано)
L - ответить в рассылку (list-reply)
g - ответить всем (group-reply)

Раньше (года два назад) пользовался KMail. Там тоже все работало (возможно
хоткеи были другие, уже не помню)


Вы считаете, что если удобно Вам, то и удобно всем? Так вот, вы
ошибаетесь. Причем глубоко.



Мне например удобней ездить с левосторонним движением, да и понятие 
"помеха справа" именно оттуда взято и там оно действительно более 
гармонично, но это не означает что приехав в страну где правостороннее 
движение я буду нарушать правила. Это я к тому, что правила существуют 
одни для всех а как Вы будете это делать - Ваши личные проблемы.



Ну дык используйте. Если этого хотите лично Вы, выставите его _себе_.
Поле "Reply-To:" как раз для этого и предусмотрено. Да, для этого возможно
прийдется прочитать документацию к почтовому клиенту, или даже возможно
сменить его. KMail это точно умеет.


Ну дык, данный вопрос поднимался не раз уже. Что теперь? Всем ковырять
свои клиенты? Только потому, что Вам лень что-то делать? Странная у
Вас позиция.



Достаточно всем (хотя мне очень кажется таких мало) стоит погонять 
тараканов в голове и не спорить ради спора, а делать как нужно. Если бы 
у нас как в нормальных странах многие вопросы решались административно 
(в виде правил которые для всех) нам не приходилось бы изобретать кучу 
ненужных вещей чтобы закрыть дырки тем, кому удобно не так как всем и 
переучиваться он не хочет.


P.S. Сорри за переход на личности, но после того как Вам дали ссылки я 
думал тред закончится.



--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: при ответе в расс ылку подставляется ад рес отправителя

[Dmitriy Sirant]

Евсюков Денис пишет:


Дело в том, что я читаю почту с сервера. Не используя при этом
почтовых клиентов.
Скандал устроил не я, заметьте, я только спросил, почему не используют
данную технологию как самую адекватную в случае рассылки...

Веб интерфейс - тоже своего рода почтовый клиент, у него есть 
разработчики, им можно закоммитить багу...



Странно, что такую бузу подняли, тем более, что сами ведь ничего не
могут сделать конкретно в этом случае. Если бы еще администрировали
рассылку, я бы понял. А так, кто прав, кто виноват... Бессмысленный
разговор получился.


Потому что буквально за 1 день до Вас этот вопрос поднимался и на него в 
очередной раз был дан ответ. Вы же пришли и вместо того чтобы поискать в 
архивах рассылки то что Вас интересует начали опять задавать тот самый 
вопрос. Вот и получается, как в анекдоте - чукча не читатель, чукча 
писатель.


P.S. Может имеет ссмысл посмотреть на news.gmane.org, сам вот им 
пользуюсь - все отлично.



--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Странное проишест вие

[Dmitriy Sirant]

Сергей С. пишет:

Доброго всем дня!

Не пойму что случилось... Не могу выйти ни на один сайт. Браузер тупо 
думает.

В логах ничего подозрительного.
А вот в логах прокси пишется такое:


1203366567.911  0 192.168.77.87  
TCP_DENIED/403 1429 POST http://ramble.names




"Какое слово перевести ?" (с) Artem Chuprina

:)


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Xen и много ядер

[Dmitriy Sirant]

Скажу так, win2003 под Xen работает шустро, на глаз не отличишь от
настоящей. С другой стороны и крутиться он на шустрой машине, Quad core
Xeon 2.13. Конечно, при операциях с диском и сетью есть нагрузка на
проц, но она не значительная.. Пока эта конфигурация тестируется, в
реальной работе пока не участвует. На днях проведём тестирование в
реальных условиях (пересадим всех на неё на денёк), по результатам
определимся жить Xen'у у нас или нет.

Меня подкупает возможность удалённо и на лету делать резервную копию и
откат, использовать одно железо для нескольких задач.



Отпишись обязательно. Самому интересно перевести Win2003 терминал в 
котором будет крутится 1с. Но меня подкупает на это миграция с одного 
хоста на другой. Только непонятно как винда переживет миграцию...



--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Xen и много ядер

[Dmitriy Sirant]

Mikhail Solovyev пишет:

А почему Xen а не vmware server?

У меня нет опыта ни с одним ни с другим. Если таковой у Вас имеется - 
поделитесь сильными и слабыми сторонами. Просто завтра приходит новый 
сервер, и надо определятся, что на него ставить... потому как на 
тестирование будет всего 1-2 недели а дальше в бой.



--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: одновременная раб ота с двумя шлюзами

[Dmitriy Sirant]

Sentinel пишет:
 О, как кстати вопрос! У меня ситуация почти идентичная той, что описал 
Андрей, две сетевушки на одной машину, только одна карточка ведёт в 
Интернет (через PPP-соединение), а вторая - в локальную сеть. 
Подскажите, пожалуйста, как научить машину ходить в Интернет через 
первую карточку, а в локалку - через вторую? Спасибо!


С уважением, Евгений.


Афигеть... Почти похожая ситуация.

Ответ: настроить маршрутизацию (я надеюсь в локальной сети не 
используются "белые" адреса).



--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: sqid замена контента

[Dmitriy Sirant]

Dmitry E. Oboukhov пишет:

прикрыл тут детям доступ на сайты с флеш/яваиграми

а можно ли acl'ями выдать для прикрытых сайтов вместо Forbidden
страничку в стиле "Надо сперва сделать уроки!" ?

что-то читаю конфиг и не найду ничего на энту тему...



#  TAG: deny_info

Поищите в конфиге squid


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Mutt + gmail

[Dmitriy Sirant]

Aleksey Korotkov пишет:


YK> 2) иногда хочется, чтобы твои письма таки сохранялись gmail'ом.

А вот это вообще не понятно, что тут имеется в виду. Что значит
"сохранялись gmail'ом"? Они никуда и не деваются, хотите -- смотрите
через его гадкий web-интерфейс, хотите -- получайте по POP3 (я как раз
так делаю). Вот это письмо, посланное через сервер smtp провайдера (а
подписан я на рассылку на адрес на gmail) я получу в свой mailbox по
POP3.



Более того, gmail с недавних пор поддерживает IMAP и дальше только от 
настроек Вашего клиента зависит куда ложить отправленные, черновики и 
т.п. Хоть в соответствующую папку gmail, хоть локально, хоть на другой 
IMAP сервер.



--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Проблема

[Dmitriy Sirant]

Что бы это значило (но оно мне уже не нравится) ?

Feb 12 18:30:49 octavia kernel: hda: irq timeout: status=0xd0 { Busy }
Feb 12 18:30:49 octavia kernel: ide0: reset: success
Feb 12 18:31:49 octavia kernel: hda: irq timeout: status=0xd0 { Busy }
Feb 12 18:32:00 octavia kernel: ide0: reset: success
Feb 12 18:34:20 octavia kernel: hda: irq timeout: status=0xd0 { Busy }
Feb 12 18:34:22 octavia kernel: ide0: reset: success

Что такое ide0 ? Какой это диск ? В системе их несколько.

Бедов вроде нету, если я правильно конечно проверял. Напишите, как это
правильно сделать...

Re: Проблема

[Dmitriy Sirant]

> Что надо сказать ядро, чипсет материнки, модель винта.
> Пропылесосить корпус и проверить контакт шлейфов.  Сбэкапиться,
> что ли...

Ядро - 2.4.20-smp, собранное вручную. Матерь Intel SAI2 (Если не ошибаюсь, в
общем серверная мать с поддержкой 2х процов P3), винт WD 80 гиг висит как
primary master.

Жаль, что надо останавливать, переделывать... основной сервак всеже...
бэкапы делаются каждый день, но мороки много... уже если переделывать -
заново все ставить буду (там щас шапка стоит, буду на Debian переходить -
занкомство с онным произошло после установки сервака).

>
> PS: hda == primary master
>

Re: Проблема

[Dmitriy Sirant]

> > Бедов вроде нету, если я правильно конечно проверял. Напишите, как это
> > правильно сделать...
>
> Зависит от типа используемой файловой системы.
>

ext3

Re: Проблема

[Dmitriy Sirant]

> "это" вылезло ровно сейчас (недавно и не во время каких-либо
> перемен)?

Да, железо не менялось пол года, сервер из стойки не выкатывался месяца 3.

> > Матерь Intel SAI2
>
> SW III LE?  SW'шный IDE доверия не заслуживает, он создан для
> CD-ROM в PIO, видимо.

desc: "ServerWorks|CNB20LE"
vendorId: 1166

>
> > винт WD 80 гиг висит как primary master.
>
> Один винт?  Воткните HPT (как каналы) и довесьте второй в зеркало...

desc: "WDC WD800BB-53BSA0"
physical: 155061/16/63

Ну кроме винта еще висит CD-ROM, но он не использовался с момента
инсталяции. Что такое HPT ? IDE Raid Controler ? Или что-то еще ?

Остальные винты на SCSI висят, систему почему-то побоялся на SCSI ставить,
думал в случае проблем не смогу востановить...

>
> (WD к 80 годам вроде избавились от некоторых маразмов, но пока не
> знаю -- у меня 4 шт. WD800JB-00CRA1 и особых впечатлений пока,
> тфу-тьфу, нет -- в остальных местах Seagate и IBM, иногда Maxtor)
>

На этой же машинке посыпался Фуджик, поменяли на самый свежий на то время
WD. Что теперь ставить - ума не приложу :) Intel - не вызывает доверия, хотя
скайзик ихний крутится, тьфу, тьфу и WD скайзевый тоже ничего...

> PS: в дебиане hddtemp есть уже?  Если нет -- RFP is due :)

Кгхм, дело в том, что на этом тазике - RedHat, hddtemp собирался ручками -
но работать отказался... А в рассылку эту пишу, потому как в последнее время
присел на Debian, да и народ в основном проблемы решает, а не флейм гоняет,
как в некоторых других местах...

Создание пользователя на лету

[Dmitriy Sirant]

Есть желание создавать пользователя программой, которой на вход передается
логин и пароль До вчерашнего дня это все стояло на RH - там у adduser
login не спрашивало ничего (ФИО для фингера и т.д.),а passwd была с
ключиком --stdin , что позволяло передать пароль в plaintext, а он его сам
писал в /etc/shadow

В Debian такого нет... Парсить вывод adduser на перле ? Не хотелось бы...

Что посоветуете ?



With best regards
Dmitriy Sirant
___
Welcome to www.paradise.net.ua

Re: Создание пользователя на лету

[Dmitriy Sirant]

> man useradd
> man chpasswd
>

Спасибо - помогает :)

Еще вопрос. С шапки перенес /etc/shadow так там размер salt - 18 символов, а
в Debian - 2, где это настраивается ?

Re: Создание пользователя на лету

[Dmitriy Sirant]

>
> добавить md5 везде где фигурирует pam_unix.so
>
> Предварительно почитать комментарии на тему того, что эта опция делает.

Странно, при инсталяции точно указывал: use md5 passwords и use shadow
passwords

Это повлияло на на adduser и на passwd, crypt() в перле по прежднему не
использует md5, chpasswd login:password тоже не использует.

Добавил везде в pam и на всякий случай включил в login.defs , правда машинку
не перегружал после этого


Странная проблема useradd добавляет пользователя без проблем, но при этом не
создает домашний каталог (adduser создает). Пробовал указывать домашний
каталог как опцию принудительно - всеравно не создает.

Re: Создание пользователя на лету

[Dmitriy Sirant]

И еще вопрос, при переходе с RH на Debian обнаружилось, что последний
считает неправильными логины типа aaa.sss , т.е. с точкой, а у меня таких
накопилось немало, обычно людям нравится чтобы почтовый адрес был
[EMAIL PROTECTED]

Может есть что подправить, чтобы Дебиан был не против таких логинов ?

Re: Создание пользователя на лету

[Dmitriy Sirant]

Всем спасибо за информацию. Сделал - все работает.

Re: vi(m) - ssh client

[Dmitriy Sirant]

> у меня putty хорошо работает -
> http://www.chiark.greenend.org.uk/~sgtatham/putty/
>

А по подробней про настройки можно ? У меня с Шапкой работает без
проблем, а в Debian не работает home и end в документах...
Что подкрутить ?

Re: XFree 4.3

[Dmitriy Sirant]

> кто-нибудь для вуди собирал?
>

Нет, не собирал, но люди добрые собрали...

http://people.debian.org/~mmagallo/packages/xfree86/
http://devel-home.kde.org/~nolden/X11/


With best regards
Dmitriy Sirant
___
Welcome to www.paradise.net.ua

Re: XFree 4.3

[Dmitriy Sirant]

> > > > кто-нибудь для вуди собирал?
> > >
> > > Нет, не собирал, но люди добрые собрали...
> > >
> > > http://people.debian.org/~mmagallo/packages/xfree86/
> > > http://devel-home.kde.org/~nolden/X11/
> >
> > никто не пробовал их ставить?
> > как впечатления от работы?
> > есть какие-нибудь глюки ?
>
> я ставил на unstable - работает, но проблемы с клавиатурой - не могу
> заставить xkb нормально работать с раскладками - она их не переключает :-(
> если кто сможет заставить ее работать - поделитесь опытом...
>
Та же самая беда + по умолчанию стоит русская раскладка (кто говорил что
русский ввод настроить трудно ? :) - вот он, как убрать не знаю еще), но
разбираться было некогда - перегрузил - увидел - улыбнулся и выключил... по
свободе посмотрю...

[no subject]

[Dmitriy Sirant]

Наверное не потеме, но как можно ограничить размер файлов, которые создает
MySQL в каталоге /var/lib/mysql Файлы hostname-bin.001 hostname-bin.002
hostname-bin.003 и т.д., дело в том, что при базе в 55 Мег эти файлы уже
занимают 455 Мег и продолжают расти... я так понимаю это что-то вроде
журнала.

Спасибо за ответ.

Re: mysql // hostname-bin.xxx

[Dmitriy Sirant]

А есть ли возможность оставить логирование, но ограничить размер файлов...
как для них правильно сделать logrotate ? Я так понимаю это должно делаться
средствами MySQL ?

> On Mon, Mar 17, 2003 at 12:11:22AM +0200, Dmitriy Sirant wrote:
> > Наверное не потеме, но как можно ограничить размер файлов, которые
создает
> > MySQL в каталоге /var/lib/mysql Файлы hostname-bin.001 hostname-bin.002
> > hostname-bin.003 и т.д., дело в том, что при базе в 55 Мег эти файлы уже
> > занимают 455 Мег и продолжают расти... я так понимаю это что-то вроде
> > журнала.
>
> да это log файлы, если они вам не нужны, то можно их почистить...
> посмотрите в каком режиме у вас запущен mysql (с какими параметрами),
> возможно он у вас запущен в режиме логирования.
> --
> /mator
>
>
> --
> To UNSUBSCRIBE, email to [EMAIL PROTECTED]
> with a subject of "unsubscribe". Trouble? Contact
[EMAIL PROTECTED]
>

Re: mysql // hostname-bin.xxx

[Dmitriy Sirant]

Полезный совет. Спасибо :)



> On Mon, Mar 17, 2003 at 12:39:17PM +0200, Dmitriy Sirant wrote:
> >> да это log файлы, если они вам не нужны, то можно их почистить...
> >> посмотрите в каком режиме у вас запущен mysql (с какими параметрами),
> >> возможно он у вас запущен в режиме логирования.
> > А есть ли возможность оставить логирование, но ограничить размер
файлов...
> > как для них правильно сделать logrotate ? Я так понимаю это должно
делаться
> > средствами MySQL ?
>
>
> http://www.saunalahti.fi/sakarit/kerro-lisaa/bart.gif
>
> (Топ-постинг исправлен)
>
>
> --
> To UNSUBSCRIBE, email to [EMAIL PROTECTED]
> with a subject of "unsubscribe". Trouble? Contact
[EMAIL PROTECTED]
>

Re: kernel exploit

[Dmitriy Sirant]

Еще как актуален. Валятся и 2.4.18-bf24 и 2.4.20-686-SMP Дебиановской
сборки.

>
>  Значит для Debian-новского варианта ядра этот баг не актуален.
>
>  Вот только я им не пользуюсь, поэтому imho.
>

With best regards
Dmitriy Sirant

Fw: kernel exploit

[Dmitriy Sirant]

>  http://isec.pl/cliph/isec-ptrace-kmod-exploit.c

Вот ссылка

>  у меня не работают.
>
>
> ps. ядра 2.4.20-grsec-1.9.9c и 2.4.20-pre7.
>

На grsec говорят вроде не работает эта вещь при определенных
обстоятельствах. Так же не работает, если запускать программу из раздела на
котором установлен nosuid бит, т.е. это один из способов защиты. Вот
смотрите, как у меня работает:

[EMAIL PROTECTED]:~$ uname -a
Linux octavia 2.4.20-686-smp #1 SMP Mon Jan 13 23:06:41 EST 2003 i686
unknown unknown GNU/Linux

[EMAIL PROTECTED]:~$ gcc ./isec-ptrace-kmod-exploit.c -o expl

[EMAIL PROTECTED]:~$ ./expl
[+] Attached to 1765
[+] Waiting for signal
[+] Signal caught
[+] Shellcode placed at 0x4000d6ad
[+] Now wait for suid shell...
# id
uid=0(root) gid=0(root) groups=0(root)
#

# cat /etc/shadow | less
root:убрано:12123:0:9:7:::
daemon:*:12098:0:9:7:::
bin:*:12098:0:9:7:::
sys:*:12098:0:9:7:::
и т.д.

Re: RS 232 to TCP/IP

[Dmitriy Sirant]

> minicom работает из рук вон плохо, теряются символы.
> А cu не могу понять как ему сказать на какой порт становиться. На все
> возможные имена ругается.

Может права на порт ? Знаю, что у меня такое было... если у вас нет права
записи на ttyS0 - то он вам и будет ругаться на cu -l ttyS0

Re: icq iptables deny

[Dmitriy Sirant]

> Вопрос скорее в другом: если человеку хотят зарезать использование
> аськи, это примерно то же самое, как запрет вести частные переговоры
> по рабочему телефону. Если такое не было оговорено с самого начала при
> поступлении на работу, и возникает явочным порядком в процессе, то
> следует сильно подумать, а стоит ли в этой конторе оставаться.
>

Т.е. при появлении новых протоколов обмена сообщениями - Вы предлагаете
менять трудовые контракты оговаривая в новых редакциях на запрет ? Ну это я
конечно утрирую, я тоже согласен, что решение этой проблемы должно
происходить на административном уровне (приказ и т.д.) а не на техническом.

Mail lock ?

[Dmitriy Sirant]

Вопрос такой, если обрывается связь, когда пользователь тянет почту по POP3,
то при востановлении соединения почту пользователю не отдает, так как стоит
lock и почта read only (не помню точно, что пишет Outlook). Со временем lock
снимается сам. Вопрос: Через какое время снимается lock, где это время можно
поменять или как вручную снять lock ?

Спасибо.



With best regards
Dmitriy Sirant
___
Welcome to www.paradise.net.ua

POP3 & POP3-SSL & IMAP & IMAP-SSL

[Dmitriy Sirant]

Стоит все это дело. Debian unstable. Пакеты ipopd, ipopd-ssl, uw-imapd,
uw-imapd-ssl. при установке требует libc-client2003debian, который в свою
очередь при настройке спрашивает разрешить ли plaintext пароли или нет.
Говорю разрешить. Все работало. После вчерашнего обновления перестало. Не
проходит авторизацию. В конфигах (/etc/c-client.cf) все нормально, plaintext
пароли разрешены. В changlog никаких изменений не наблюдалось (касающихся
авторизации), попытка откатится назад - ничего не решила, все по прежднему.
Что делать ?

Пробовал поставить cyrus или courier - не вышло. Не понимаю идеалогии, у них
в других местах файлы лежат с почтой, как научить мой sendmail ложить их
куда надо - не понял. Есть ли какой-то howto как перейти с системы, что
стоит у меня на систему cyrus ? Или на что лучше переходить ?



With best regards
Dmitriy Sirant
___
Welcome to www.paradise.net.ua

Re: POP3 & POP3-SSL & IMAP & IMAP-SSL

[Dmitriy Sirant]

> Стоит все это дело. Debian unstable. Пакеты ipopd, ipopd-ssl, uw-imapd,
> uw-imapd-ssl. при установке требует libc-client2003debian, который в свою
> очередь при настройке спрашивает разрешить ли plaintext пароли или нет.
> Говорю разрешить. Все работало. После вчерашнего обновления перестало. Не
> проходит авторизацию. В конфигах (/etc/c-client.cf) все нормально,
plaintext
> пароли разрешены. В changlog никаких изменений не наблюдалось (касающихся
> авторизации), попытка откатится назад - ничего не решила, все по
прежднему.
> Что делать ?

Так как никто не ответил - пришлось читать много док :) и решение
обнаружилось. uw-imapd плевать хотел на c-client.cf и то что там написанно
про plaintext пароли. Все что нужно указывается при компиляции. Вылечилось
вытаскиванием deb-src, установкой нужных опций при компиляции и получении
пакетов, которые теперь замечательно работают.

> Пробовал поставить cyrus или courier - не вышло. Не понимаю идеалогии, у
них
> в других местах файлы лежат с почтой, как научить мой sendmail ложить их
> куда надо - не понял. Есть ли какой-то howto как перейти с системы, что
> стоит у меня на систему cyrus ? Или на что лучше переходить ?

Было прочитано не очень много док, но не понравилось, что надо создавать
пользователей в cyrus отдельно от пользователей в системе. Может есть
какой-то конвертер /etc/shadow -> cyrus ?

Re: Рисование графиков: чем?

[Dmitriy Sirant]

> Можно посмотреть результаты на http://alpha.satgate/net/a_ping/
> >

Ну наглеть так наглеть. А можно поделиться готовой програмкой, которая
собирает таймауты. Я понимаю, что пол часа и ее можно написать... но все же
? :)

Re: IPTables any more...

[Dmitriy Sirant]

> > > В сообщении от 21 Апрель 2003 16:29 Andrey Andruschenko написал:
> > > > Здравствуйте всем!
> > > >
> > > > ... И еще , хотелось бы считать
> > > > траффик Для этого строятся счетные цепочки.
> > >
> > > я для подсчета трафика пользуюсь net-acct'ом. по крайней мере в
ipchains
> > > (до сих пор на нем сижу) трафик считать нельзя :-(
> >
> > Проблема не подсчете траффика, а в том, что форвард нормально не
> > работает

А у тебя вообще IP_FORWARD включен ? cat /proc/sys/net/ipv4/ip_forward что
выдает ?

Re: MySQL, problem, newbie

[Dmitriy Sirant]

Ну вообще базы и пользователей легче создавать с помощью mysql_setpermision
(вроде так).

> Здравствуйте уважаемые дебиановцы.
>
> Вот поставил себе MySQL, пытаюсь создать базу данных:
> mysqladmin -u root -p create movie
> и получаю:
> --
> mysqladmin: connect to server at 'localhost' failed
> error: 'Access denied for user: '[EMAIL PROTECTED]' (Using password: YES)'
>
> делаю netstat -tlnp:
> -
> Active Internet connections (only servers)
> Proto Recv-Q Send-Q Local Address   Foreign Address
> State   PID/Program name
> tcp0  0 0.0.0.0:32768   0.0.0.0:*   LISTEN
> 199/rpc.statd
> tcp0  0 0.0.0.0:515 0.0.0.0:*   LISTEN
215/lpd
> tcp0  0 0.0.0.0:26280.0.0.0:*   LISTEN  203/0
> tcp0  0 0.0.0.0:37  0.0.0.0:*   LISTEN
> 210/inetd
> tcp0  0 0.0.0.0:9   0.0.0.0:*   LISTEN
> 210/inetd
> tcp0  0 0.0.0.0:33060.0.0.0:*   LISTEN
> 264/mysqld
> tcp0  0 0.0.0.0:13  0.0.0.0:*   LISTEN
> 210/inetd
> tcp0  0 0.0.0.0:111 0.0.0.0:*   LISTEN
> 98/portmap
> tcp0  0 0.0.0.0:80  0.0.0.0:*   LISTEN
> 366/apache
> tcp0  0 0.0.0.0:113 0.0.0.0:*   LISTEN
> 210/inetd
> tcp0  0 0.0.0.0:25  0.0.0.0:*   LISTEN
> 210/inetd
> ---
>
> PS. никогда раньше не работал с MySQL (да и с другими SQL тоже) и
> поэтому буду рад любым советам. Зарание спасибо.
>
>
> --
> To UNSUBSCRIBE, email to [EMAIL PROTECTED]
> with a subject of "unsubscribe". Trouble? Contact
[EMAIL PROTECTED]
>
>

Re: WaveLAN Orinoco - не работает.

[Dmitriy Sirant]

> Привет, всезнающий, All!
>
>
> Появилась у меня надобность сделать радиолинк, нашли две карточки
> Orinoco(PCMCIA), поставил я их вроде как завелись, но не работают...
>
> Поставил wireless-tools и вот что выходит:
>
> iwconfig eth0 channel 1
>
>  Error for wireless request "Set Frequency" (8B04) :
>  SET failed on device eth0 ; Operation not supported.
>
> так же и на счет AP.
>
> Куда копать, а то уже измучался...

Во первых, есть разные режимы работы карточек. Тебя интересует iwconfig eth0
mode Ad-Hoc

Вообще, для этого есть файл /etc/pcmcia/wireless.opts

case "$ADDRESS" in
*,*,*,00:02:2D:20:6C:35) # Твой mac карточки (у меня их просто 3 в компе
стоит, для каждой свои настройки
INFO="Gagarina repiter 2"
NWID="0100"
ESSID="Gagarina-Unico"
MODE="Ad-Hoc"
FREQ="2.412G"
KEY="off"
RATE="auto"
SENS="1/3"
FRAG="auto"
KEY="off"
NICKNAME="Gagarina repiter 2"
DHCP="n"
IPADDR="192.168.1.1"
NETMASK="255.255.255.0"
NETWORK="192.168.1.0"
BROADCAST="192.168.1.255"
esac

Re: WaveLAN Orinoco - не работает.

[Dmitriy Sirant]

Странно. А что показывает iwconfig eth0 без параметров ?


> Здравствуйте, Dmitriy Sirant!
>
> Я понимаю, что где прописывается, но я не могу например поменять
> частотут или канал.
>
>
> On Thu, May 01, 2003 at 01:31:28AM +0300, you wrote:
>
> -> > Привет, всезнающий, All!
> -> >
> -> >
> -> > Появилась у меня надобность сделать радиолинк, нашли две карточки
> -> > Orinoco(PCMCIA), поставил я их вроде как завелись, но не работают...
> -> >
> -> > Поставил wireless-tools и вот что выходит:
> -> >
> -> > iwconfig eth0 channel 1
> -> >
> -> >  Error for wireless request "Set Frequency" (8B04) :
> -> >  SET failed on device eth0 ; Operation not supported.
> -> >
> -> > так же и на счет AP.
> -> >
> -> > Куда копать, а то уже измучался...
> ->
> -> Во первых, есть разные режимы работы карточек. Тебя интересует iwconfig
eth0
> -> mode Ad-Hoc
> ->
> -> Вообще, для этого есть файл /etc/pcmcia/wireless.opts
> ->
> -> case "$ADDRESS" in
> -> *,*,*,00:02:2D:20:6C:35) # Твой mac карточки (у меня их просто 3 в
компе
> -> стоит, для каждой свои настройки
> -> INFO="Gagarina repiter 2"
> -> NWID="0100"
> -> ESSID="Gagarina-Unico"
> -> MODE="Ad-Hoc"
> -> FREQ="2.412G"
> -> KEY="off"
> -> RATE="auto"
> -> SENS="1/3"
> -> FRAG="auto"
> -> KEY="off"
> -> NICKNAME="Gagarina repiter 2"
> -> DHCP="n"
> -> IPADDR="192.168.1.1"
> -> NETMASK="255.255.255.0"
> -> NETWORK="192.168.1.0"
> -> BROADCAST="192.168.1.255"
> -> esac
> ->
> ->
> -> --
> -> To UNSUBSCRIBE, email to [EMAIL PROTECTED]
> -> with a subject of "unsubscribe". Trouble? Contact
[EMAIL PROTECTED]
> ->
> ->
>
> --
> Denis A. Egorov
> System Administrator
> ISP "Concern Alex"
> Tel: +380-44-2464666
> Fax: +380-44-2464700
> ICQ: 129102102
> JID: [EMAIL PROTECTED]
> PGP: https://www.root.org.ua/pgp
>  wget -O https://www.root.org.ua/pgp/public.key | gpg --import
>

Re: WaveLAN Orinoco - не работает.

[Dmitriy Sirant]

Странно. А что показывает iwconfig eth0 без параметров ?


> Здравствуйте, Dmitriy Sirant!
>
> Я понимаю, что где прописывается, но я не могу например поменять
> частотут или канал.
>
>
> On Thu, May 01, 2003 at 01:31:28AM +0300, you wrote:
>
> -> > Привет, всезнающий, All!
> -> >
> -> >
> -> > Появилась у меня надобность сделать радиолинк, нашли две карточки
> -> > Orinoco(PCMCIA), поставил я их вроде как завелись, но не работают...
> -> >
> -> > Поставил wireless-tools и вот что выходит:
> -> >
> -> > iwconfig eth0 channel 1
> -> >
> -> >  Error for wireless request "Set Frequency" (8B04) :
> -> >  SET failed on device eth0 ; Operation not supported.
> -> >
> -> > так же и на счет AP.
> -> >
> -> > Куда копать, а то уже измучался...
> ->
> -> Во первых, есть разные режимы работы карточек. Тебя интересует iwconfig
eth0
> -> mode Ad-Hoc
> ->
> -> Вообще, для этого есть файл /etc/pcmcia/wireless.opts
> ->
> -> case "$ADDRESS" in
> -> *,*,*,00:02:2D:20:6C:35) # Твой mac карточки (у меня их просто 3 в
компе
> -> стоит, для каждой свои настройки
> -> INFO="Gagarina repiter 2"
> -> NWID="0100"
> -> ESSID="Gagarina-Unico"
> -> MODE="Ad-Hoc"
> -> FREQ="2.412G"
> -> KEY="off"
> -> RATE="auto"
> -> SENS="1/3"
> -> FRAG="auto"
> -> KEY="off"
> -> NICKNAME="Gagarina repiter 2"
> -> DHCP="n"
> -> IPADDR="192.168.1.1"
> -> NETMASK="255.255.255.0"
> -> NETWORK="192.168.1.0"
> -> BROADCAST="192.168.1.255"
> -> esac
> ->
> ->
> -> --
> -> To UNSUBSCRIBE, email to [EMAIL PROTECTED]
> -> with a subject of "unsubscribe". Trouble? Contact
[EMAIL PROTECTED]
> ->
> ->
>
> --
> Denis A. Egorov
> System Administrator
> ISP "Concern Alex"
> Tel: +380-44-2464666
> Fax: +380-44-2464700
> ICQ: 129102102
> JID: [EMAIL PROTECTED]
> PGP: https://www.root.org.ua/pgp
>  wget -O https://www.root.org.ua/pgp/public.key | gpg --import
>

Re: WaveLAN Orinoco - не работает.

[Dmitriy Sirant]

>
> да если постаить mode == ad-hoc и iwconfig eth1 channel 1 , то
ругни(которая идет ниже) нет, вроде
> как все проходит нормально, но
> iwlist eth1 channel
> Warning: Driver for device eth1 has been compiled with version 13
> of Wireless Extension, while this program is using version 14.
> Some things may be broken...
>

Если ты насчет этой ругни ^^ то это ничего. Если о той что в первом
посте была - то скорее всего из-за того, что карточка была в mode managed, а
в таком случае ей частота и канал (что одно и то же) выдаются
AccessPoint-ом, а в режиме Ad-Hoc ты сам можешь их выставлять...

portslave

[Dmitriy Sirant]

Добрый день

А есть ли тут провайдеры ??? Интересует такой вопрос. Буквально вчера мне
друзья сказали, что встречали в инете примеры конфигурации portslave, чтобы
он мог после соединения с клиентом из виндовс выдать окошко, мол у вас
осталось на счету столько то денег. Якобы эта функциональность встроена в
Microsoft PPP. Очень интерестно как это реализовать... В том же RADIUS есть
Return-String - но она вроде тоже до клиента не доходит.

Кто чем пользуется ?



With best regards
Dmitriy Sirant
___
Welcome to www.paradise.net.ua

Re: portslave

[Dmitriy Sirant]

> On Thu, May 15, 2003 at 02:35:50PM +0300, Dmitriy Sirant wrote:
> > Добрый день
> >
> > А есть ли тут провайдеры ??? Интересует такой вопрос. Буквально вчера
мне
> > друзья сказали, что встречали в инете примеры конфигурации portslave,
чтобы
> > он мог после соединения с клиентом из виндовс выдать окошко, мол у вас
> > осталось на счету столько то денег. Якобы эта функциональность встроена
в
> Не в окне терминала, а в отдельном независимом окошке, вне
> зависимости от состояния галочки "Выводить окно терминала"? Интересно.

Вот именно, что в отдельном окошке. Люди божатся, что сами такое видели на
диалапе в Киеве, мол сказало сколько денеш есть на счете, нажал ОК и пошел
работать, а если денег нет - дало законектится - сказало что денег нет и
разорвало соединение... А еще мол callback без скриптов реализовуется.
Законектился - спросило хочу ли воспользоваться Callback, если сказал хочу -
то спросило номер телефона как мне позвонить, перевело модем в режим не
кидать несущую и ждать звонка и перезвонило

В общем мне самому с трудом верится, что такое можно сделать без самописной
програмы под виндой, но люди вроде не шутили... и клятвенно обещали
вспомнить где видели подробную инструкцию как это делать. Если дадут -
покажу.

> > Microsoft PPP. Очень интерестно как это реализовать... В том же RADIUS
есть
> > Return-String - но она вроде тоже до клиента не доходит.
> >
> > Кто чем пользуется ?
> Содержимое атрибута Reply-Message, который отправляется в
> пакетах Access-Accept или Access-Reject, по стандарту должно
> отображаеться в "Окне терминала". Как portslave обрабатывает этот
> атрибут я не знаю, но научить должно быть несложно.
> Исходя из этого средствами радиуса вставлять в
> Access- атрибут Reply-Message с необходимыми данными,
> пользователям включить "Выводить окно терминала". Данные будут
> выводиться в окне терминала.

Это конечно понятно, но умный пользователь включит окно терминала и
посмотрит, а глупый начнет трезвонить и рассказывать, что его не пускает...

Re: ограничение скорости в сети

[Dmitriy Sirant]

Тут люди советовали CBQ - это вчерашний день. Смотреть надо в сторону HTB.
Поддержка есть в дистрибутивном ядре (начиная с 2.4.19). В отличии от CBQ
умеет неиспользованный канал одного клиента подарить другому (если тому
можно). Как только первому потребуется вся его полоса пропускания - он ее
получит назад.

Re: ограничение скорости в сети

[Dmitriy Sirant]

>>Ссылочку бы - а то в гугле он на НТВ только телеканал выдает ))

Так я же не ЭнТэВэ писал, а ЭйчТиБи :)
Вот ссылочка: http://luxik.cdi.cz/~devik/qos/htb/

Кстати, неужели нельза настроить почту, чтобы в винде (а приходится с ней
работать как с рабочей станцией) я мог читать без извращений. Все письма как
письма, а Ваши приходят как аттачмент текстового файла, да еще и кодировка
KOI8-R, приходится сохранять аттачмент, переименовывать в .html и читать в
эксплорере.

> Поддержка есть в дистрибутивном ядре (начиная с 2.4.19). В отличии от CBQ
> умеет неиспользованный канал одного клиента подарить другому (если тому
> можно). Как только первому потребуется вся его полоса пропускания - он ее
> получит назад.

Re: ограничение скорости в сети

[Dmitriy Sirant]

> Здравствуйте,
>
> On Mon, Jun 02, 2003 at 12:45:56PM +0300, Dmitriy Sirant wrote:
> > Тут люди советовали CBQ - это вчерашний день. Смотреть надо в сторону
HTB.
> > Поддержка есть в дистрибутивном ядре (начиная с 2.4.19). В отличии от
CBQ
> > умеет неиспользованный канал одного клиента подарить другому (если тому
> > можно). Как только первому потребуется вся его полоса пропускания - он
ее
> > получит назад.
>
> И где вы такую траву берете? ;-)))
>

А что собственно неправильно в моем изложении ? Просветите, а то ведь
ошибаюсь и даже не знаю в чем и где. Не дайте умереть невеждой.

Re: ограничение скорости в сети

[Dmitriy Sirant]

> > > > Тут люди советовали CBQ - это вчерашний день. Смотреть надо в
сторону
> > HTB.
> > > > Поддержка есть в дистрибутивном ядре (начиная с 2.4.19). В отличии
от
>

> > CBQ
>   ^^^
> > > > умеет неиспользованный канал одного клиента подарить другому (если
тому
>   
> > > > можно). Как только первому потребуется вся его полоса пропускания -
он
> > ее
> > > > получит назад.
> > >
> > > И где вы такую траву берете? ;-)))
> > >
> >
> > А что собственно неправильно в моем изложении ? Просветите, а то ведь
> > ошибаюсь и даже не знаю в чем и где. Не дайте умереть невеждой.
>
> HTB - это просто еще одна queuing discipline. Одна из многих. И
подчеркнутое
> свойство, это не свойство HTB, а свойство интерфейса iproute2,
реализованное
> в утилите tc [filter ] [class .] [qdisc ...].
>

Если я не ошибаюсь, то CBQ появилось раньше, а HTB - это надстройка
(переделка) CBQ, чтобы поддерживать иерархические правила (ох и написал же
я). Для того, чтобы оно работало, пришлось патчить tc (как часть iproute2),
следовательно изначально он этого не умел.

В общем какая разница, как это все называется, как это появилось - главное
что работает, и работает хорошо.

Кстати, тому кто спрашивал, поищи на sourceforge htb, там есть init script
для него, который из конфигов (наподобе CBQ) будет тебе создавать все
правила.

Маршрутизация и ее протоколы

[Dmitriy Sirant]

Добрый день. Сообщение большое, ногами не пинайте. Я понимаю, что надо
учится на CCNA, но пока нету времени, подскажите. Существует примерно такая
структура сети (см. аттач). То что на картинке обозначено как Bridge A,
Bridge B и Bridge C - это Wireless Ретрансляторы (точки доступа AP-2000).
Они работают как свитчи Layer-2 объедененные каскадом. Т.е. то что
нарисовано внутри облака - физически одна сеть (модемы тоже в режиме
бриджа). Имеется 2 линка на модемах, которые чаще чем все другое падают.
Хочется:
1. Чтобы клиенты получали нужный им default gateway Server A или Server С в
зависимости от наличия линка, веса правила,  загрузки линка (я думаю именно
в таком порядке).
2. Чтобы Server A отдавал пакет по тому маршруту, по которому он пришел
(кстати, если настроено что-то типа: route add -net 192.168.4.0/24 dev eth2
(на котором ip 192.168.4.250) и route add -net 192.168.4.0/24 gw
192.168.1.196 metric 1 то почему-то при падении канала (выключении Bridge A)
пакеты не идут на 192.168.4.4)
3. Небольшое отступлениие от картинки (только пришло в голову). Реально ли
сделать: два компьютера соединено двумя кусками витой пары (uplink) через
две сетевые. На одном компьютере адреса 192.168.1.1 и 192.168.1.2 на втором
192.168.1.253 и 192.168.1.254 . Как настроить маршрутизацию, чтобы была
балансировка нагрузки и устойчивость к отключению одного из кабелей ? Или
для этого прийдется поделить на подсети ? Или можно настроить bonding ? А
можно ли настроить bonding между Sercver C и Server A на рисунке ?

Где можно про все это почитать на русском ? Что лучше почитать на английском
(это не проблема, но русским владею получше :)

Спасибо, извините что не совсем про Debian (хотя он стоит на Server A и
Server C, на Server B стоит к сожалению шапка, но зато с uptime 367 days,
10:51).
<>

маршрутизация

[Dmitriy Sirant]

У меня такое подозрение, что в целях безопасности в Debian по умолчанию
настроено, что пакет должен вернутся к клиенту по тому же маршруту по
которому пришел, а я хочу его отправить через другой интерфейс.
Маршрутизацией настраиваю, но не работает. Где читать ?

Опять маршрутизация

[Dmitriy Sirant]

Добрый день

У меня две сети.

192.168.1.160/27
и
192.168.1.192/27

Я их хочу поделить так:
192.168.1.160/28
192.168.1.176/29
192.168.1.184/29
192.168.1.192/29
192.168.1.200/28
192.168.1.216/30
192.168.1.220/30

можно ли ? или я всетаки должен делить от большего к меньшему ?

Re: замер траффика

[Dmitriy Sirant]

iptables умеет смотреть (а значит и считать) траффик генерируемый
определенным pid (сессией программы). Я бы так считал.

> возникла такая задача: я хочу выяснить объём траффика генерируемого
> программами работающих по различным протоколам при копирования одного и
> того же файла (фильм ~700 MB).
>
> Планирую потестить
>
> wget(http), scp(ssh), rsync(ssh+compression), ftp
>
> Проблемы: мне нужно измерить траффик, генерируемый *только* данным
> конкретным приложением (одновременно какой-нибудь демон может тоже
> воспользоваться данным протоколом).
>
> Некоторые программы (например фтп насколько я знаю, может я ошибаюсь)
> используют больше 1 порта/соединения для передачи данных.
>
> Какие средства вы мне можете порекомендовать для решения этой задачи.
> --
> Best regards, Sergey Spiridonov
>

Re: замер траффика

[Dmitriy Sirant]

Так, почитал, выяснилось, что:

   owner
   This  module  attempts  to  match various characteristics of the
packet
   creator, for locally-generated packets.  It is only valid in the
OUTPUT
   chain,  and  even  this  some packets (such as ICMP ping responses)
may
   have no owner, and hence never match.

т.е. посчитать можно _только_ исходящий траффик.

А хост откуда качаешь постоянный или peer-to-peer сеть ?

> Dmitriy Sirant wrote:
> > iptables умеет смотреть (а значит и считать) траффик генерируемый
> > определенным pid (сессией программы). Я бы так считал.
> >
> [snip]
>
> Спасибо, надеюсь что они не используют fork() :)
> Если ещё и командну/скрипт подскажете, благодарность моя не будет иметь
> границ. Если нет и сам разберусь, спасибо.
>
> Если кому-то интересно, результаты могу опубликовать
>
>
> >>Планирую потестить
> >>
> >>wget(http), scp(ssh), rsync(ssh+compression), ftp
> >>

Re: kernel-image-2.4.20

[Dmitriy Sirant]

> > Версия сборки пакета. Если mainstream версия
> > не менялась, а поменялись правила сборки
> > (другие ключики, зависимости), то пакет
> > пересобирается с увеличением того
> > самого индекса.
> >
>
> Обычно это не отражалось в _названии_ пакета. Тогда что означает "-8" в
> названии файла: kernel-image-2.4.20-3-k7_2.4.20-8_i386.deb? Думаю, это
> версия сборки, а что за 3 и 1 из описания пакета не ясно.
>

Ну что тут не понятного ? Имедж ядра 2.4.20 для K7 собранный в 8 раз
используя исходники из пакета kernel-source-2.4.20-3 (перебраные в третий
раз в пакет).

Re: kernel-image-2.4.20

[Dmitriy Sirant]

> >> Тогда что означает "-8" в
> >> названии файла: kernel-image-2.4.20-3-k7_2.4.20-8_i386.deb? Думаю, это
> >> версия сборки, а что за 3 и 1 из описания пакета не ясно.
> >>
> >
> > Ну что тут не понятного ? Имедж ядра 2.4.20 для K7 собранный в 8 раз
> > используя исходники из пакета kernel-source-2.4.20-3 (перебраные в
третий
> > раз в пакет).
>
> Не знаю что это значит, но звучит интригующе. :))
> Да и пакета такого(kernel-source-2.4.20-3) я не нашел.
>

Пока мы с Вами базар разводим, люди работают :) Уже 5 сборка.

#apt-cache show kernel-source-2.2.20
Package: kernel-source-2.2.20
Priority: optional
Section: devel
Installed-Size: 15440
Maintainer: Herbert Xu <[EMAIL PROTECTED]>
Architecture: all
Version: 2.2.20-5

Вот тут видно

Re: kernel-image-2.4.20

[Dmitriy Sirant]

>
> >>> Тогда что означает "-8" в
> >>> названии файла: kernel-image-2.4.20-3-k7_2.4.20-8_i386.deb? Думаю, это
> >>> версия сборки, а что за 3 и 1 из описания пакета не ясно.
> >>>
> >>
> >> Ну что тут не понятного ? Имедж ядра 2.4.20 для K7 собранный в 8 раз
> >> используя исходники из пакета kernel-source-2.4.20-3 (перебраные в
третий
> >> раз в пакет).
> >
> > Не знаю что это значит, но звучит интригующе. :))
> > Да и пакета такого(kernel-source-2.4.20-3) я не нашел.
>
> А я вот сделал
>
> apt-get source kernel-source-2.4.20
>
> и получил kernel-source-2.4.20-8.
>
> Если бы проделал эту операцию между Sat, 21 Dec 2002 и Sat, 11 Jan
> 2003, думаю, получил бы kernel-source-2.4.20-3.
>
Ну так Вы батенька на Unstable сидите, а у меня Testing

Re: kernel-image-2.4.20

[Dmitriy Sirant]

>  DS>
>  DS> Пока мы с Вами базар разводим, люди работают :) Уже 5 сборка.
>  DS>
>  DS> #apt-cache show kernel-source-2.2.20
>  DS> Package: kernel-source-2.2.20
>  DS> Priority: optional
>  DS> Section: devel
>  DS> Installed-Size: 15440
>  DS> Maintainer: Herbert Xu <[EMAIL PROTECTED]>
>  DS> Architecture: all
>  DS> Version: 2.2.20-5
>  DS> 
>  DS> Вот тут видно
>
> А теперь _внимательно_ сравните с циферками в сабже.
> :-)

Виноват, поспешил :))) Но идея ясна.

autonegotiation on Intel network cards

[Dmitriy Sirant]

Добрый день

Вот что мне показывает mii-tool
octavia:/# mii-tool
eth0: no autonegotiation, 10baseT-HD, link ok
eth1: no autonegotiation, 10baseT-HD, link ok
eth2: no autonegotiation, 10baseT-HD, link ok

octavia:/# lspci
00:03.0 Ethernet controller: Intel Corp. 82557/8/9 [Ethernet Pro 100] (rev
08)
00:06.0 Ethernet controller: Intel Corp. 82557/8/9 [Ethernet Pro 100] (rev
0c)
00:08.0 Ethernet controller: Intel Corp. 82557/8/9 [Ethernet Pro 100] (rev
08)

Драйвер eepro100, ядро 2.4.20, драйвер модулем.

Что нужно сделать, чтобы карточки работали на 100 Мбит ? А если только одна
нада на 100 Мбит, а остальные на 10 ? mii-tool -F mii-tool eth0 -F
100baseTx-FD не помогло, говорит: no link

Debian и PUTTY

[Dmitriy Sirant]

Добрый день

Все хорошо работает в связке Putty + Debian, но вот проблемка и не знаю как
решить. В bash не работает home и end, а в Midnight Commander в его
редакторе (mcedit) нормально работет. У mc что свои настройки терминала ?
Что надо подправить чтобы не поломать mc ?

Re: Debian и PUTTY

[Dmitriy Sirant]

> > Все хорошо работает в связке Putty + Debian, но вот проблемка и не знаю
как
> > решить. В bash не работает home и end, а в Midnight Commander в его
> > редакторе (mcedit) нормально работет. У mc что свои настройки терминала
?
> > Что надо подправить чтобы не поломать mc ?
>
> попробуй в /etc/inputrc или ~/.inputrc прописаь следующее:
>
> # for linux console and RH/Debian xterm
> "\e[1~": beginning-of-line
> "\e[4~": end-of-line
>

Спасибо огромное ! Это помогло.

Как работать с tasksel

[Dmitriy Sirant]

Добрый день

Во время установки с miniDisk (180 mb) в завершающей фазе запускается
Tasksel, я его тогда отменил, так как компьютер к инету небыл подключен.
Теперь, подключив к интернету запускаю Tasksel и олучаю такую информацию:
aliasss:~# tasksel
No tasks found on this system.
Did you update your available file?

Если запустить tasksel -a и выбрать нужные к установке пакеты (группы
пакетов), то происходит следующее:
aliasss:~# tasksel -a
Reading Package Lists... Done
Building Dependency Tree... Done
0 packages upgraded, 0 newly installed, 0 to remove and 0  not upgraded.

Хотя я выбрал установить C/C++ Devel (а эти пакеты у меня точно не
установлены).

apt-get работает нормально. Дистрибутив обновлен до testing.
На других машинах, на которых во время инсталяции небыл прерван tasksel все
отлично, он работает.

Что поправить ?

Спасибо.

Re: Учёт трафика (PROMISC ) с разделением на VLAN -ы

[Dmitriy Sirant]

Jurgen V. Uzbekoff пишет:

Уважаемое сообщество,

после бесплодного Google-нья решился-таки обратиться сюда.

Есть Ethernet-порт, в котором ходят несколько VLAN-ов. С этого порта снимается трафик с помощью net-acct (Sarge,  0.71-7) в режиме PROMISC. В принципе, данные  net-acct достаточно адекватны, НО: net-acct ничего не говорит о VLAN-е, в котором они прошли. В результате, если в разных VLAN-ах будут встречаться одинаковые ip-адреса, они смешиваются безо всякой возможности их потом разделить :( Одним словом, есть желание учитывать ещё и VLAN.  


Может кто-нибудь посоветует инструмент с подобным функционалом...

Заранее спасибо,



Посмотри на pmacct - он умеет по VLAN. Но он нечто иное чем net-acct, но 
дописать его до нужного тебе функционала сможешь сам.



--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Учёт трафика (PROMISC ) с разделением на VLAN -ы

[Dmitriy Sirant]

Jurgen V. Uzbekoff пишет:

On Sat, Sep 09, 2006 at 12:20:57PM +0300, Dmitriy Sirant wrote:

Jurgen V. Uzbekoff пишет:
Есть Ethernet-порт, в котором ходят несколько VLAN-ов. С этого порта 
снимается трафик с помощью net-acct (Sarge,  0.71-7) в режиме PROMISC. В 
принципе, данные  net-acct достаточно адекватны, НО: net-acct ничего не 
говорит о VLAN-е, в котором они прошли. В результате, если в разных 
VLAN-ах будут встречаться одинаковые ip-адреса, они смешиваются безо 
всякой возможности их потом разделить :( Одним словом, есть желание 
учитывать ещё и VLAN.  
Может кто-нибудь посоветует инструмент с подобным функционалом...
Посмотри на pmacct - он умеет по VLAN. Но он нечто иное чем net-acct, но 
дописать его до нужного тебе функционала сможешь сам.


Ух ты, спасибо! Надо было "меньше букоф" писать при поиске: я искал
`apt-cache search traffic accounting` и 'pmacct - promiscuous mode
traffic accountant' не находился :)

Ещё раз большое спасибо - буду копать.



Незачто :). Кстати автор очень быстро отвечает в список рассылки и 
весьма помогает с возникающими вопросами.



--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Apache2 + PHP5 + suphp кушает 100% процессора

[Dmitriy Sirant]

Добрый день

При наличии Apache2 + PHP5 + suphp и какой-то проблемы со скриптом, 
которую нашел suphp (не та група, не те права на файл) не выдается в 
брацзер ошибка а в это время apache съедает 100% CPU и висит достаточно 
долго (видел до нескольких часов). Установлен сегодняшний etch.


Вопрос: в какой из пакетов постить багрепорт ?

Спасибо


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Postfix Etch

[Dmitriy Sirant]

Добрый день

После обновления Sarge до Etch (ежедневно обновляю) Postfix + Courier + 
Mysql стал переодически откидывать письма с текстом "Temporary lookup 
failure". Сервер MySQL не загружен, индексирован и все такое. Появилоь 
после обновления Postfix. Может есть что подкрутить по поводу timeouts в 
Postfix ? Может они по умолчанию снижены были. Вот что за пол дня сегдня 
набежало:


mail:/home/lex# cat /var/log/mail.log | grep "Temporary lookup failure" 
| wc -l

198
mail:/home/lex# cat /var/log/mail.log | grep "postfix/smtpd" | wc -l
123283


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Postfix Etch

[Dmitriy Sirant]

Я бы рад, но подскажите, что показать.

Alexander Vlasov пишет:

Может чуть больше информации будет полезно?




--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Postfix Etch

[Dmitriy Sirant]

Alexander Vlasov пишет:

Может чуть больше информации будет полезно?



Проблема бывают при приеме и при отправке. При отправке (клиент 
отправляет серверу, т.е. со стороны сервера это опять таки прием) это 
выражается, в отлупе по таймауту клиента.


Nov 10 15:12:51 mail postfix/smtpd[10524]: NOQUEUE: reject: RCPT from 
bzq-84-108-219-70.cablep.bezeqint.net[84.108.219.70]: 451 4.3.0 
<[EMAIL PROTECTED]>: Temporary lookup failure; 
from=<[EMAIL PROTECTED]> to=<[EMAIL PROTECTED]> 
proto=SMTP helo=


Очень похоже, что http://kiltum.livejournal.com/1124845.html как раз мой 
случай. Буду искать дальше что надо переделать, т.к. настраивал все по 
HOWTO несильно вдумываясь что делаю, т.к. почта и ее работа не мой конек :(



--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Postfix Etch

[Dmitriy Sirant]

Alexander Gerasiov пишет:

На Fri, 10 Nov 2006 15:22:27 +0200
Dmitriy Sirant <[EMAIL PROTECTED]> записано:


Alexander Vlasov пишет:

Может чуть больше информации будет полезно?

Проблема бывают при приеме и при отправке. При отправке (клиент 
отправляет серверу, т.е. со стороны сервера это опять таки прием) это 
выражается, в отлупе по таймауту клиента.


Nov 10 15:12:51 mail postfix/smtpd[10524]: NOQUEUE: reject: RCPT from 
bzq-84-108-219-70.cablep.bezeqint.net[84.108.219.70]: 451 4.3.0 
<[EMAIL PROTECTED]>: Temporary lookup failure; 
from=<[EMAIL PROTECTED]> to=<[EMAIL PROTECTED]> 
proto=SMTP helo=


Очень похоже, что http://kiltum.livejournal..com/1124845.html как раз
мой случай. Буду искать дальше что надо переделать, т.к. настраивал
все по HOWTO несильно вдумываясь что делаю, т.к. почта и ее работа не
мой конек :(

А случаем не  reject_unknown_client в одном из правил у тебя? А нет,
хост резолвится... Тогда может reject_unknown_sender_domain ? Да и фром
очень на спамера похож...




Да, но ошибка то в другом... если бы спамер или хост плохой - то ошибка 
была бы не Temporary lookup failure.

Начал по логам mysql лазить... обнаружил еще одну непонятную вещь:

В main.cf
virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual-maps.cf

В mysql-virtual-maps.cf
user = ***
password = ***
dbname = statistic
table = services
select_field = CONCAT(SUBSTRING_INDEX(login,'@', 
-1),'/',SUBSTRING_INDEX(login,'@',1),'/Maildir/')

where_field = login
additional_conditions = AND service_id = 4
hosts = ***

В логах mysql
SELECT CONCAT(SUBSTRING_INDEX(login,'@', 
-1),'/',SUBSTRING_INDEX(login,'@',1),'/Maildir/') FROM services WHERE 
login='init.net.ua' AND service_id = 4


Это вопрос опять таки похож на тот, куда ссылку приводили - но там 
лечение не указано. Поидее в login должен подставлятся 
[EMAIL PROTECTED] а не домен, причем бывает, что запрос идет на 
чужой домен тоже (например yahoo.com.tw).


Я уже запутался окончательно. Где можно почитать по русски что должен 
смотерть и что получить postfix в следующих переменных, потому что в тех 
HOWTO что я смотрел просто указано мол создаем таблицы, вставляем (в 
некоторые только) строки такие и все. Никаких тебе вариантов.


virtual_alias_maps = mysql:/etc/postfix/mysql-aliases.cf
relocated_maps = mysql:/etc/postfix/mysql-relocated.cf
transport_maps = mysql:/etc/postfix/mysql-transport.cf
virtual_mailbox_base = /var/mail/virtual
virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual-maps.cf
virtual_uid_maps = mysql:/etc/postfix/mysql-virtual-uid.cf
virtual_gid_maps = mysql:/etc/postfix/mysql-virtual-gid.cf
mysql_hostname = mysql:/etc/postfix/mysql-hostname.cf
relay_host = mysql:/etc/postfix/mysql-relay.cf


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Postfix Etch

[Dmitriy Sirant]

Alexander Gerasiov пишет:

На Fri, 10 Nov 2006 16:59:57 +0200
Dmitriy Sirant <[EMAIL PROTECTED]> записано:


Alexander Gerasiov пишет:

На Fri, 10 Nov 2006 15:22:27 +0200
Dmitriy Sirant <[EMAIL PROTECTED]> записано:


Alexander Vlasov пишет:

Может чуть больше информации будет полезно?

Проблема бывают при приеме и при отправке. При отправке (клиент 
отправляет серверу, т.е. со стороны сервера это опять таки прием)

это выражается, в отлупе по таймауту клиента.

Nov 10 15:12:51 mail postfix/smtpd[10524]: NOQUEUE: reject: RCPT
from bzq-84-108-219-70.cablep.bezeqint.net[84.108.219.70]: 451
4.3.0 <[EMAIL PROTECTED]>: Temporary lookup failure; 
from=<[EMAIL PROTECTED]> to=<[EMAIL PROTECTED]> 
proto=SMTP helo=


Очень похоже, что http://kiltum.livejournal..com/1124845.html как
раз мой случай. Буду искать дальше что надо переделать, т.к.
настраивал все по HOWTO несильно вдумываясь что делаю, т.к.. почта
и ее работа не мой конек :(

А случаем не  reject_unknown_client в одном из правил у тебя? А нет,
хост резолвится... Тогда может reject_unknown_sender_domain ? Да и
фром очень на спамера похож...

Да, но ошибка то в другом... если бы спамер или хост плохой - то
ошибка была бы не Temporary lookup failure.

Если не нашел домен - да, а если искал, но DNS вернул ошибку, то вполне
себе "Temporary lookup failure", хотя в случае с DNS он может и по
другому ругаться, не помню.
Таки ты не ответил на вопрос..
Хотя, насколько я понимаю, проблема может быть еще и с каким-нибудь
запросом к mysql.
Проверь что все они корректные. Например, что алиасы правильно работают.
Понимаешь в чем беда, если бы запросы были поломаны - то не работало бы 
вообще. А так не ходит менее 1% писем причем одно и то же письмо может 
быть откинуто а через минуту оно приймется и пройдет.

Начал по логам mysql лазить... обнаружил еще одну непонятную вещь:

В main.cf
virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual-maps.cf

В mysql-virtual-maps.cf
user = ***
password = ***
dbname = statistic
table = services
select_field = CONCAT(SUBSTRING_INDEX(login,'@', 
-1),'/',SUBSTRING_INDEX(login,'@',1),'/Maildir/')

where_field = login
additional_conditions = AND service_id = 4
hosts = ***

В логах mysql
SELECT CONCAT(SUBSTRING_INDEX(login,'@', 
-1),'/',SUBSTRING_INDEX(login,'@',1),'/Maildir/') FROM services WHERE 
login='init.net.ua' AND service_id = 4


Это вопрос опять таки похож на тот, куда ссылку приводили - но там 
лечение не указано.

В блоге по ссылке вообще что-то левое, ИМХО, к тебе никакого отношения
не имеющее. 
Поидее в login должен подставлятся 
[EMAIL PROTECTED] а не домен, причем бывает, что запрос идет

на чужой домен тоже (например yahoo.com.tw).

А virtual_alias_domains = $virtual_alias_maps
да? тогда это просто проверка того факта, что ты обслуживаешь этот
виртуальный домен.

Нет. virtual_alias_domains другой запрос, а не тот что я привел выше.

Чужой домен - это попытка испоьлзовать тебя как опер-релэй (постфикс
проверяет, принимаешь ли ты для этого домена почту)

Для этого третий запрос который relay_domains вызывает



И вообще кинь уж тогда вывод postconf'а почитать, что ли...




Странно, а в выводе postconf -n есть строка
relay_domains = $relay_host
а вот строки из конфига
relay_host = proxy:mysql:/etc/postfix/mysql-relay.cf
почемуто нет. Это означает что он ее не принял ?

mail:/etc/postfix# postconf -n
append_dot_mydomain = no
biff = no
broken_sasl_auth_clients = yes
config_directory = /etc/postfix
delay_warning_time = 4h
home_mailbox = Maildir/
inet_protocols = ipv4
local_destination_concurrency_limit = 1
local_recipient_maps = $virtual_alias_maps $virtual_mailbox_maps
mailbox_command =
mailbox_size_limit = 0
mydestination = $myhostname, $mysql_hostname
mydomain = init.net.ua
myhostname = mail.init.net.ua
mynetworks = 127.0.0.0/8, 193.238.116.0/22, 192.168.0.0/16
myorigin = $mydomain
recipient_delimiter = +
relay_domains = $relay_host
relocated_maps = proxy:mysql:/etc/postfix/mysql-relocated.cf
smtpd_banner = INIT ISP ESMTP
smtpd_client_restrictions = hash:/etc/postfix/blacklist
smtpd_helo_required = yes
smtpd_helo_restrictions = permit_mynetworks, 
reject_invalid_helo_hostname, reject_unknown_helo_hostname
smtpd_recipient_restrictions = permit_mynetworks, 
permit_sasl_authenticated, reject_unauth_destination, 
check_policy_service inet:127.0.0.1:6, reject_rbl_client bl.spamcop.net

smtpd_reject_unlisted_sender = yes
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain = $myhostname
smtpd_sasl_security_options = noanonymous
smtpd_sender_restrictions = reject_unknown_sender_domain
smtpd_tls_cert_file = /etc/postfix/smtpd.cert
smtpd_tls_key_file = /etc/postfix/smtpd.key
smtpd_tls_loglevel = 3
smtpd_tls_session_cache_timeout = 3600s
smtpd_use_tls = yes
transport_maps = proxy:mysql:/etc/postfix/mysql-transport.cf
virtual_alias_maps = proxy:mysql:/etc/postfix/mysql-aliases.cf
virtual_gi

Re: Postfix Etch

[Dmitriy Sirant]

Alexander Gerasiov пишет:

На Fri, 10 Nov 2006 23:10:51 +0200
Dmitriy Sirant <[EMAIL PROTECTED]> записано:

Nov 10 15:12:51 mail postfix/smtpd[10524]: NOQUEUE: reject: RCPT
from bzq-84-108-219-70.cablep.bezeqint.net[84.108.219.70]: 451
4.3.0 <[EMAIL PROTECTED]>: Temporary lookup failure; 
from=<[EMAIL PROTECTED]>

to=<[EMAIL PROTECTED]> proto=SMTP
helo=

А случаем не  reject_unknown_client в одном из правил у тебя? А
нет, хост резолвится... Тогда может
reject_unknown_sender_domain ? Да и фром очень на спамера похож...

Да, но ошибка то в другом... если бы спамер или хост плохой - то
ошибка была бы не Temporary lookup failure.

Если не нашел домен - да, а если искал, но DNS вернул ошибку, то
вполне себе "Temporary lookup failure", хотя в случае с DNS он
может и по другому ругаться, не помню.

Че-та мне кажется, что в вышепроцитированном куске я был прав.

Таки ты не ответил на вопрос..
Хотя, насколько я понимаю, проблема может быть еще и с каким-нибудь
запросом к mysql.
Проверь что все они корректные. Например, что алиасы правильно
работают.

Понимаешь в чем беда, если бы запросы были поломаны - то не работало
бы вообще. А так не ходит менее 1% писем причем одно и то же письмо
может быть откинуто а через минуту оно приймется и пройдет.

Если с одним и тем же письмом такая фигня, то значит либо DNS глючит,
либо к MySQL много соединений. Но судя по логам, ИМХО все же первое.


Начал по логам mysql лазить... обнаружил еще одну непонятную вещь:

В main.cf
virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual-maps.cf

В mysql-virtual-maps.cf
user = ***
password = ***
dbname = statistic
table = services
select_field = CONCAT(SUBSTRING_INDEX(login,'@', 
-1),'/',SUBSTRING_INDEX(login,'@',1),'/Maildir/')

where_field = login
additional_conditions = AND service_id = 4
hosts = ***

В логах mysql
SELECT CONCAT(SUBSTRING_INDEX(login,'@', 
-1),'/',SUBSTRING_INDEX(login,'@',1),'/Maildir/') FROM services

WHERE login='init.net.ua' AND service_id = 4

Это вопрос опять таки похож на тот, куда ссылку приводили - но там 
лечение не указано.

В блоге по ссылке вообще что-то левое, ИМХО, к тебе никакого
отношения не имеющее. 
Поидее в login должен подставлятся 
[EMAIL PROTECTED] а не домен, причем бывает, что запрос

идет на чужой домен тоже (например yahoo.com.tw).

А virtual_alias_domains = $virtual_alias_maps
да? тогда это просто проверка того факта, что ты обслуживаешь этот
виртуальный домен.

Нет. virtual_alias_domains другой запрос, а не тот что я привел выше.

Как другой? у тебя в конфиге другого нету, значит по дефолту
virtual_alias_domains = $virtual_alias_maps и он именно проверяет
существование виртуального домена с данным именем.
(Ну или то же самое для virtual_mailbox_domains и
virtual_mailbox_maps)

Чужой домен - это попытка испоьлзовать тебя как опер-релэй (постфикс
проверяет, принимаешь ли ты для этого домена почту)

Для этого третий запрос который relay_domains вызывает

неее... при чем здесь relay_domains? сервер получает письмо на
[EMAIL PROTECTED] - через тебя пытаются релеить - и смотрит есть ли
yahoo.com среди виртуальных доменов.


И вообще кинь уж тогда вывод postconf'а почитать, что ли...



Странно, а в выводе postconf -n есть строка
relay_domains = $relay_host
а вот строки из конфига
relay_host = proxy:mysql:/etc/postfix/mysql-relay.cf
почемуто нет. Это означает что он ее не принял ?


-n Print parameter settings that are not left at their
built-in  default value, because they are explicitly specified in
main.cf.

postconf(1)

А в конфиге что-нить вроде relay_domains = $relay_host есть? А зачем?
Ты что-то релеишь? А никакого relay_host вроде нету, есть relayhost, у
которого совсем другой смысл.
Тогда уж сразу писать relay_domains =
proxy:mysql:/etc/postfix/mysql-relay.cf, если релеем работаешь.
Да, релеем работаю для некоторых. Пошел искать отличие между relay_host 
и relay_domains. Хотя relay_host - это по сути просто переменная у меня. 
Я почему-то решил, что я переменной присвоил где искать, а потом указал 
в relay_domains = $relay_host. Незнаю зачем, но уже исправил.


И вообще, ИМХО у тебя в конфиге много ненужного. Ты бы почитал
документацию, а не копировал бы полностью всякие howto, часть из
которых абсолютное legacy, а часть с ошибками.

Да, именно к этому все и идет...



reject_invalid_helo_hostname, reject_unknown_helo_hostname
smtpd_recipient_restrictions = permit_mynetworks, 
permit_sasl_authenticated, reject_unauth_destination, 
check_policy_service inet:127.0.0.1:6, reject_rbl_client

bl.spamcop.net smtpd_reject_unlisted_sender = yes

Это переформатирование сделало? Или действительно ошибка и они на
одной строке?

Переформатирование. Все в разных.

smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain = $myhostname
smtpd_sasl_security_options = noanonymous
smtpd_sender_restrictions = reject_unknown_sender_domain

Вот, похоже, что из-за этого и вылез

Re: Postfix Etch

[Dmitriy Sirant]

Alexander Gerasiov пишет:

На Sat, 11 Nov 2006 11:37:44 +0200
Dmitriy Sirant <[EMAIL PROTECTED]> записано:


smtpd_sender_restrictions = reject_unknown_sender_domain

Вот, похоже, что из-за этого и вылезают те lookup falure.
Postfix пытается проверить существование домена для сендера и
натыкается на ошибку в DNS. Что я и писал еще раньше.

Попробую отключить.

Это разве что для экспериментов, потому что по-хорошему, эта проверка
совсем не лишняя.





Отключение данной проверки не принесло никакого результата. Т.е. она не 
влияет на мою проблему. Включил опять.



--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Postfix Etch

[Dmitriy Sirant]

Mikolaj Golub пишет:

On Fri, 10 Nov 2006 23:10:51 +0200 Dmitriy Sirant wrote:

 DS> relocated_maps = proxy:mysql:/etc/postfix/mysql-relocated.cf
 DS> transport_maps = proxy:mysql:/etc/postfix/mysql-transport.cf
 DS> virtual_alias_maps = proxy:mysql:/etc/postfix/mysql-aliases.cf
 DS> virtual_gid_maps = proxy:mysql:/etc/postfix/mysql-virtual-gid.cf
 DS> virtual_mailbox_maps = proxy:mysql:/etc/postfix/mysql-virtual-maps..cf
 DS> virtual_uid_maps = proxy:mysql:/etc/postfix/mysql-virtual-uid.cf


Можно попробовать здесь выбросить proxymap как необязательное звено и
посмотреть, что получится...



Его изначально тут небыло, был вставлен, чтобы попробовать что получится :)
Проблема так и не решена. Нашел еще человека с такой-же проблемой:
http://www.postfix.ru/viewtopic.php?t=533


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: nvidia

[Dmitriy Sirant]

andrey i. mavlyanov пишет:

Alex Corkin wrote:


А модули (только модули без glx) почему-то до сих пор для 2.6.15
выйдет etch с нормальными собранными драйверами. не волнуйтесь раньше 
времени.  сейчас например идёт процесс интеграции ядра 2.6.18. вот как 
оно войдёт в etch тогда и можно будет написать вопрос о пересборке 
драйверов под это ядро (можно какой-нить вишлист, наверное, к нему 
приписать в багтрекере...).



А где посмотреть как идет этот "процесс интеграции ядра 2.6.18" кроме 
как в багрепорте ? Или я много хочу ? Просто вроде как нет там особых 
проблем, а в etch никак не попадет...



--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]