From fulda at seznam.cz Wed Apr 1 11:51:27 2009 From: fulda at seznam.cz (Jindra Fucik) Date: Wed, 1 Apr 2009 11:51:27 +0200 Subject: Fw: kernel panic Message-ID: <056601c9b2af$6d301b60$233e580a@PC2088> Preposilam mail od nestastnika co si neumi nastavit mail server aby dorucoval do konference :o))) ----- Original Message ----- From: "Jan Dusatko" To: Sent: Wednesday, April 01, 2009 11:47 AM Subject: kernel panic Zdravim, neznate nekdo reseni ? Nainstaloval jsem si software pro vzdaleny monitoring (OSSEL). Funguje docela dlouho k me spokojenosti, pouze mi dnes zacal jeden system na FreeBSD (vse ostatni pracuje bez problemu) posilat nasledujici zpravy: OSSEL HIDS Notification. 2009 Apr 01 8:09:58 Received From: (hostname.domain.cz) 82.208.43.67->/var/log/messages Rule: l0532 fired (level 15) -> "Kernel don't panic" Portion of the log(s): Fatal trap 1: page fault while in kernel mode fault virtual address = 0x21c fault code = supervisor sleep, cofee not present instruction pointer = 0x20:0xc1cadeee stack pointer = 0x20:0xc1cadeee frame pointer = 0x28:0x1gattaca code segmengt = base 0x0, limit 0xfffff, type 0x1f = DPL 0, pres 1, def32 1, gran 1 processor eflags = interrupt enabled, resume, IOPL = 0 current process = 0 (kernel) trap number = 1 panic: page fault uptime: 1m Physical memory: 2001 Dumping 60MB: 60 Dump complete Automatic reboot in 15 seconds - pres a key on the console to abort --> Press a key on the console to reboot, or switch off the system now --END OF NOTIFICATION Neznate nekdo reseni ? Honza From mcmiazga at sk.freebsd.org Wed Apr 1 12:13:19 2009 From: mcmiazga at sk.freebsd.org (Peter 'mcmiazga' Jamnicky) Date: Wed, 01 Apr 2009 12:13:19 +0200 Subject: Fw: kernel panic aka 1. april In-Reply-To: <056601c9b2af$6d301b60$233e580a@PC2088> References: <056601c9b2af$6d301b60$233e580a@PC2088> Message-ID: <49D33E3F.50508@sk.freebsd.org> Dne 1. 4. 2009 11:51, Jindra Fucik napsal(a): > > OSSEL HIDS Notification. > 2009 Apr 01 8:09:58 > Jindro to mas tak... Spravna notifikacia je v tvare: OSEL AIDS Notification Upozornuje na mozne infikovanie osla virusom aids. Je potrebne zachovavat hygienicke navyky. Mat staleho/stalych partnerov/partnerky a pouzivat kondom. Samozrejme neplati to pre kecalkov ktory by len chceli radi zazit sex a chvalia sa kamaratom o OSEL AIDS Notification... Ty su v podstate v jadre veci panic! Vesely 1. april -- Peter 'mcmiazga' Jamnicky From fulda at seznam.cz Wed Apr 1 13:42:03 2009 From: fulda at seznam.cz (Jindra Fucik) Date: Wed, 1 Apr 2009 13:42:03 +0200 Subject: Fw: kernel panic aka 1. april References: <056601c9b2af$6d301b60$233e580a@PC2088> <49D33E3F.50508@sk.freebsd.org> Message-ID: <057501c9b2be$e0c188c0$233e580a@PC2088> ----- Original Message ----- >> OSSEL HIDS Notification. >> 2009 Apr 01 8:09:58 > Jindro to mas tak... Spravna notifikacia je v tvare: > OSEL AIDS Notification > Upozornuje na mozne infikovanie osla virusom aids. Je potrebne > zachovavat hygienicke navyky. Mat staleho/stalych partnerov/partnerky a > pouzivat kondom. Samozrejme neplati to pre kecalkov ktory by len chceli > radi zazit sex a chvalia sa kamaratom o OSEL AIDS Notification... Ty su > v podstate v jadre veci panic! A-ha, diky za info :o) Kazdej dobrej skutek bude po zasluze potrestan :o) From dan at obluda.cz Thu Apr 2 18:37:56 2009 From: dan at obluda.cz (Dan Lukes) Date: Thu, 02 Apr 2009 18:37:56 +0200 Subject: Dual NIC, problem s nedostupnosti In-Reply-To: <49CCD9CD.1030809@rtfm.cz> References: <49CCD9CD.1030809@rtfm.cz> Message-ID: <49D4E9E4.9000006@obluda.cz> On 27.3.2009 14:51, Lubos Dolezal: > Narazil jsem na mozna "zajimavy" problem u sitovani na 7.1-RELEASE (amd64). > Server ma dve sitova rozhrani pripojena v rozdilnych sitich (bge0, bge1): > --- > defaultrouter="172.25.11.1" > bge0: flags=8843 metric 0 mtu 1500 > inet 172.25.11.23 netmask 0xffffff00 broadcast 172.25.11.255 > bge1: flags=8843 metric 0 mtu 1500 > inet 172.25.9.12 netmask 0xffffff00 broadcast 172.25.9.255 > Ted k tomu "problemu". Pokud je rozhrani "bge1" aktivni (a > nakonfigurovane na uvedenou adresu) nelze se z jineho serveru v siti > "172.25.9.0/24" dostat na sitove sluzby bezici na adrese 172.25.11.23 > (rozhrani bge0). Napr. z 172.25.9.10: > --- > $ telnet 172.25.11.23 22 > Trying 172.25.11.23... > telnet: Unable to connect to remote host: Connection timed out Jen aby nam tu nezustali neuzavrene problemy, kdyz je reseni znamo. Nakonec stacilo poridit tcpdumpem zaznam komunikace z obou koncu. Ukazalo se, ze pakety neprichazeji tak, jak byly odeslany. Uvodni SYN packet dorazi na server z odlisnymi sekvencnimi cisly nez s jakymi byl odeslan z klienta. No a to je cela potiz. SYN+ACK odeslany v opacnem smeru mel hodnotu ACK odpovidajici tomu, co na server dorazilo - a protoze "zpetky" paket sel primo, nikoliv pres router, dorazil v tomto smeru paket nezmeneny. Klientovi hodnota ACK nesedela k sekvencnimu cislu, se kterym on SYN odeslal a tudiz dospel k zaveru, ze se nejedna o odpoved na jeho paket. Reagoval proto zaslanim RST. Spojeni se pochopitelne nesestavilo. Zbyvalo najit, kdo meni sekvencni cisla a to uz bylo trivialni - po ceste je CISCO a na nem ASA/PIX. A to defaultne pocita s tim, ze sitove stacky systemu nejsou bezpecne napsane a sekvencni cisla posouva o nahodne zvoleny offset aby se nikomu ISN nepodarilo uhadnout. Pokud jde komunikace zpatky pres nej, je to v pohode (hodnoty ACK posouva o stejny offset zpet), pokud ne, jako v tomto pripade, smula. Bohuzel, ani vypnuti randomizace pro komunikaci mezi temito vnitrnimi sitemi problem nevyresilo, protoze firewall nevidi kompletni handshaking (kdyz jeden smer pres nej nejde) a nema tudiz spojeni za ustavene a odmita propustet data. Podle me je snadne reseni i tady (proste mu jakekoliv filtrovani teto komunikace zakazat uplne - u stroju, ktere maji nezavisle prime spojeni to stejne nema bezpecnostni smysl), ale jestli se Lubos rozhodne pro toto reseni, nebo zustane u workaroundu, ktery uz zvolil (pomoci pf tlaci "zpetne" pakety take pres router), to je vic politicka nez technicka otazka a to uz je ciste na nem. Jinymi slovy, puvodne poskytnuta informace, ze firewall tuto komunikaci neblokuje se ukazala nebyt uplne presna. Sice neblokoval, ale nevhodne ovlivnoval - a kdyz se mu to zatrhlo, tak teprve tehdy zacal natvrdo blokovat ;-) Dan From zburget at burgnet.cz Fri Apr 3 11:58:29 2009 From: zburget at burgnet.cz (=?ISO-8859-2?Q?Zbyn=ECk_Burget?=) Date: Fri, 03 Apr 2009 11:58:29 +0200 Subject: Zahadny PacketLoss Message-ID: <49D5DDC5.5060008@burgnet.cz> Zdravim konferenci! Objevil jsem zajimavy problem na routeru: Intel S3000AHX, CPU Core2 duo E6300 (1.86 GHz) dva integrovane Gbit iface em0: chip=0x108c8086 82573E Intel Corporation 82573E Gigabit Ethernet Controller (Copper) em1: chip=0x10768086 82541EI Gigabit Ethernet Controller (nechapu, proc tam nedavaji dve stejne) em1 je nakonfigurovana jako vnitrni iface, em0 jako vnejsi. Pri "nejakem" provozu pres router (ktery zatim nemam nejak vysledovany) se zacnou objevovat vypadky na vnejsim interface. Shodou okolnosti na obou stranach routeru je za 10GHz bezdratovym pojitkem switch Cisco 2960 takze testovat se da na obe strany routeru stejne. jako test pouzivam prikaz: ping -i.1 -c100 -s1500 IP_adresa_switche smerem dovntir (tedy pres em1) neni nejmensi problem smerem ven (pres em0) je packet loss od 1 do 9(!)% Napr ted aktualne pres interface tece cca 25 mbit download + 5 mbit upload (5 min. prumer) a problem se neprojevuje. Vcera v dobe, kdy teklo 18 down + 5 up jsem problem pozoroval - takze objemem protekajicich dat to nebude). Na routeru bezi IPFW + NAT + DUMMYNET packtety do pravidel DUMMYNETu jsou posilany pouze na vnitrnim iface, proto jsem jeho mozny vliv vyloucil. NAT vytezuje jedno jadro CPU na cca 50% - takze pretizenim cpu nejakou casti sitoveho subsystemu to taky nebude. Mame zjisteno, ze onim 10GHz bezdratovym pojitkem to neni (jednotky na obou stranach jsou vymenene) a z vnejsi strany neni vypadek na jednotku, ale na router ano. sysctl dev.em.0.stats=1: Excessive collisions = 0 Sequence errors = 0 Defer count = 0 Missed Packets = 0 Receive No Buffers = 0 Receive Length Errors = 0 Receive errors = 0 Crc errors = 0 Alignment errors = 0 Collision/Carrier extension errors = 0 RX overruns = 0 watchdog timeouts = 0 XON Rcvd = 0 XON Xmtd = 0 XOFF Rcvd = 0 XOFF Xmtd = 0 Good Packets Rcvd = 29472571 Good Packets Xmtd = 22267200 TSO Contexts Xmtd = 0 TSO Contexts Failed = 0 pro em1 je to prakticky identick? sysctl dev.em.0.debug=1: Adapter hardware address = 0xc478921c CTRL = 0x50140248 RCTL = 0x8002 Packet buffer = Tx=20k Rx=12k Flow control watermarks high = 10240 low = 8740 tx_int_delay = 66, tx_abs_int_delay = 66 rx_int_delay = 32, rx_abs_int_delay = 66 fifo workaround = 0, fifo_reset_count = 0 hw tdh = 222, hw tdt = 222 hw rdh = 117, hw rdt = 116 Num Tx descriptors avail = 256 Tx Descriptors not avail1 = 0 Tx Descriptors not avail2 = 0 Std mbuf failed = 0 Std mbuf cluster failed = 0 Driver dropped packets = 0 Driver tx dma failure in encap = 0 Ani na vypisu netstatu nevidim nic, co by mohlo napovidat o nejake chybe. Netusim, kam se dal podivat na jake udaje, ktere by mohly neco napovedet. Napadne nekoho neco, kde by mohly byt uzitecne informace? Zbynek From zburget at burgnet.cz Sat Apr 4 17:41:57 2009 From: zburget at burgnet.cz (=?ISO-8859-2?Q?Zbyn=ECk_Burget?=) Date: Sat, 04 Apr 2009 17:41:57 +0200 Subject: Zahadny PacketLoss In-Reply-To: <49D5DDC5.5060008@burgnet.cz> References: <49D5DDC5.5060008@burgnet.cz> Message-ID: <49D77FC5.1030808@burgnet.cz> ...jeste dovetek - stejne chovani pozoruju jak pri vpnutem, tak pri zapnutem pollingu na tom iface em0 kern.polling.idlepoll_sleeping: 1 kern.polling.stalled: 1 kern.polling.suspect: 26891 kern.polling.phase: 0 kern.polling.enable: 1 kern.polling.handlers: 2 kern.polling.residual_burst: 0 kern.polling.pending_polls: 0 kern.polling.lost_polls: 29640 kern.polling.short_ticks: 1827 kern.polling.reg_frac: 20 kern.polling.user_frac: 50 kern.polling.idle_poll: 0 kern.polling.each_burst: 5 kern.polling.burst_max: 150 kern.polling.burst: 150 kern.clockrate: { hz = 1000, tick = 1000, profhz = 666, stathz = 133 } Zbynek Zbyn?k Burget napsal(a): > Zdravim konferenci! > > Objevil jsem zajimavy problem na routeru: > > Intel S3000AHX, CPU Core2 duo E6300 (1.86 GHz) > dva integrovane Gbit iface > > em0: chip=0x108c8086 > 82573E Intel Corporation 82573E Gigabit Ethernet Controller (Copper) > > em1: chip=0x10768086 > 82541EI Gigabit Ethernet Controller > (nechapu, proc tam nedavaji dve stejne) > > em1 je nakonfigurovana jako vnitrni iface, em0 jako vnejsi. > > Pri "nejakem" provozu pres router (ktery zatim nemam nejak vysledovany) > se zacnou objevovat vypadky na vnejsim interface. Shodou okolnosti na > obou stranach routeru je za 10GHz bezdratovym pojitkem switch Cisco 2960 > takze testovat se da na obe strany routeru stejne. > jako test pouzivam prikaz: > ping -i.1 -c100 -s1500 IP_adresa_switche > smerem dovntir (tedy pres em1) neni nejmensi problem > smerem ven (pres em0) je packet loss od 1 do 9(!)% > > Napr ted aktualne pres interface tece cca 25 mbit download + 5 mbit > upload (5 min. prumer) a problem se neprojevuje. Vcera v dobe, kdy teklo > 18 down + 5 up jsem problem pozoroval - takze objemem protekajicich dat > to nebude). > > Na routeru bezi IPFW + NAT + DUMMYNET > packtety do pravidel DUMMYNETu jsou posilany pouze na vnitrnim iface, > proto jsem jeho mozny vliv vyloucil. > > NAT vytezuje jedno jadro CPU na cca 50% - takze pretizenim cpu nejakou > casti sitoveho subsystemu to taky nebude. > > Mame zjisteno, ze onim 10GHz bezdratovym pojitkem to neni (jednotky na > obou stranach jsou vymenene) a z vnejsi strany neni vypadek na jednotku, > ale na router ano. > > sysctl dev.em.0.stats=1: > Excessive collisions = 0 > Sequence errors = 0 > Defer count = 0 > Missed Packets = 0 > Receive No Buffers = 0 > Receive Length Errors = 0 > Receive errors = 0 > Crc errors = 0 > Alignment errors = 0 > Collision/Carrier extension errors = 0 > RX overruns = 0 > watchdog timeouts = 0 > XON Rcvd = 0 > XON Xmtd = 0 > XOFF Rcvd = 0 > XOFF Xmtd = 0 > Good Packets Rcvd = 29472571 > Good Packets Xmtd = 22267200 > TSO Contexts Xmtd = 0 > TSO Contexts Failed = 0 > > pro em1 je to prakticky identick? > > sysctl dev.em.0.debug=1: > Adapter hardware address = 0xc478921c > CTRL = 0x50140248 RCTL = 0x8002 > Packet buffer = Tx=20k Rx=12k > Flow control watermarks high = 10240 low = 8740 > tx_int_delay = 66, tx_abs_int_delay = 66 > rx_int_delay = 32, rx_abs_int_delay = 66 > fifo workaround = 0, fifo_reset_count = 0 > hw tdh = 222, hw tdt = 222 > hw rdh = 117, hw rdt = 116 > Num Tx descriptors avail = 256 > Tx Descriptors not avail1 = 0 > Tx Descriptors not avail2 = 0 > Std mbuf failed = 0 > Std mbuf cluster failed = 0 > Driver dropped packets = 0 > Driver tx dma failure in encap = 0 > > Ani na vypisu netstatu nevidim nic, co by mohlo napovidat o nejake > chybe. Netusim, kam se dal podivat na jake udaje, ktere by mohly neco > napovedet. > Napadne nekoho neco, kde by mohly byt uzitecne informace? > > Zbynek > -- > FreeBSD mailing list (users-l at freebsd.cz) > http://www.freebsd.cz/listserv/listinfo/users-l From vilem.kebrt at gmail.com Sat Apr 4 20:14:09 2009 From: vilem.kebrt at gmail.com (Vilem Kebrt) Date: Sat, 04 Apr 2009 20:14:09 +0200 Subject: Zahadny PacketLoss In-Reply-To: <49D5DDC5.5060008@burgnet.cz> References: <49D5DDC5.5060008@burgnet.cz> Message-ID: <49D7A371.8050803@gmail.com> Pozor napriklad 10.5 Ghz pojitka od fy. SVM mely jeden cas ten problem ze pri urcite sekvenci dat doslo k "rozladeni" synchronizacniho oscilatoru a spoj zacal chybovat....a byla to cela serie spoju, tudiz bych netvrdil ze to pojitkem byt nemuze(mimochodem chyba byla opravena do mesice). Spise bych skusil si dat na oba interface "odbocku" a zacal sledovat o jaky typ provozu jde... S pozdravem Vilem Zbyn?k Burget napsal(a): > Zdravim konferenci! > > Objevil jsem zajimavy problem na routeru: > > Intel S3000AHX, CPU Core2 duo E6300 (1.86 GHz) > dva integrovane Gbit iface > > em0: chip=0x108c8086 > 82573E Intel Corporation 82573E Gigabit Ethernet Controller (Copper) > > em1: chip=0x10768086 > 82541EI Gigabit Ethernet Controller > (nechapu, proc tam nedavaji dve stejne) > > em1 je nakonfigurovana jako vnitrni iface, em0 jako vnejsi. > > Pri "nejakem" provozu pres router (ktery zatim nemam nejak vysledovany) > se zacnou objevovat vypadky na vnejsim interface. Shodou okolnosti na > obou stranach routeru je za 10GHz bezdratovym pojitkem switch Cisco 2960 > takze testovat se da na obe strany routeru stejne. > jako test pouzivam prikaz: > ping -i.1 -c100 -s1500 IP_adresa_switche > smerem dovntir (tedy pres em1) neni nejmensi problem > smerem ven (pres em0) je packet loss od 1 do 9(!)% > > Napr ted aktualne pres interface tece cca 25 mbit download + 5 mbit > upload (5 min. prumer) a problem se neprojevuje. Vcera v dobe, kdy teklo > 18 down + 5 up jsem problem pozoroval - takze objemem protekajicich dat > to nebude). > > Na routeru bezi IPFW + NAT + DUMMYNET > packtety do pravidel DUMMYNETu jsou posilany pouze na vnitrnim iface, > proto jsem jeho mozny vliv vyloucil. > > NAT vytezuje jedno jadro CPU na cca 50% - takze pretizenim cpu nejakou > casti sitoveho subsystemu to taky nebude. > > Mame zjisteno, ze onim 10GHz bezdratovym pojitkem to neni (jednotky na > obou stranach jsou vymenene) a z vnejsi strany neni vypadek na jednotku, > ale na router ano. > > sysctl dev.em.0.stats=1: > Excessive collisions = 0 > Sequence errors = 0 > Defer count = 0 > Missed Packets = 0 > Receive No Buffers = 0 > Receive Length Errors = 0 > Receive errors = 0 > Crc errors = 0 > Alignment errors = 0 > Collision/Carrier extension errors = 0 > RX overruns = 0 > watchdog timeouts = 0 > XON Rcvd = 0 > XON Xmtd = 0 > XOFF Rcvd = 0 > XOFF Xmtd = 0 > Good Packets Rcvd = 29472571 > Good Packets Xmtd = 22267200 > TSO Contexts Xmtd = 0 > TSO Contexts Failed = 0 > > pro em1 je to prakticky identick? > > sysctl dev.em.0.debug=1: > Adapter hardware address = 0xc478921c > CTRL = 0x50140248 RCTL = 0x8002 > Packet buffer = Tx=20k Rx=12k > Flow control watermarks high = 10240 low = 8740 > tx_int_delay = 66, tx_abs_int_delay = 66 > rx_int_delay = 32, rx_abs_int_delay = 66 > fifo workaround = 0, fifo_reset_count = 0 > hw tdh = 222, hw tdt = 222 > hw rdh = 117, hw rdt = 116 > Num Tx descriptors avail = 256 > Tx Descriptors not avail1 = 0 > Tx Descriptors not avail2 = 0 > Std mbuf failed = 0 > Std mbuf cluster failed = 0 > Driver dropped packets = 0 > Driver tx dma failure in encap = 0 > > Ani na vypisu netstatu nevidim nic, co by mohlo napovidat o nejake > chybe. Netusim, kam se dal podivat na jake udaje, ktere by mohly neco > napovedet. > Napadne nekoho neco, kde by mohly byt uzitecne informace? > > Zbynek > -- > FreeBSD mailing list (users-l at freebsd.cz) > http://www.freebsd.cz/listserv/listinfo/users-l From zburget at burgnet.cz Sun Apr 5 11:50:31 2009 From: zburget at burgnet.cz (=?ISO-8859-2?Q?Zbyn=ECk_Burget?=) Date: Sun, 05 Apr 2009 11:50:31 +0200 Subject: Zahadny PacketLoss In-Reply-To: <49D7A371.8050803@gmail.com> References: <49D5DDC5.5060008@burgnet.cz> <49D7A371.8050803@gmail.com> Message-ID: <49D87EE7.6050505@burgnet.cz> Vilem Kebrt napsal(a): > Pozor napriklad 10.5 Ghz pojitka od fy. SVM mely jeden cas ten problem > ze pri urcite sekvenci dat doslo k "rozladeni" synchronizacniho > oscilatoru a spoj zacal chybovat....a byla to cela serie spoju, tudiz Vsechny 10 GHz pojitka, o kterych jsem mluvil jsou od Summit Development a na te problematicke strane to byl nejdriv UNI 40 a ted je tam QAM 50 S temi UNI byly kdysi taky problemy, ale uplne jineho typu. Udelal jsem jiny test, vnejsi iface routeru jsem zapojil pres switch (Cisco) a zkusil pingnout na jiny PC pripojeny do onoho switche - vypadky jsou tam taky - takze problem bude skoro urcite nekde na strane routeru. Jeste mam v planu tohle otestovat trochu vic do hloubky. K tomu jeden napad - nemuze byt treba chyba v kabelazi? Zeby to fungovalo, ale prece jen ne uplne 100%? Router a switch nejsou vedle sebe, takze jejich zkusebni propojeni jinou trasou by nebylo uplne trivialni. Zatim jsem tuto variantu chtel vyloucit, protoze jsem se jete nestekal s tim, ze by vadna kabelaz mohla zpusobit takovouto chybu (ale nesetkal jsem se se spoustou jinych veci). Kdyby to timto (i jen teoreticky) byt mohlo, tak tam ty druhe draty zkusim natahnout. > Spise bych skusil si dat na oba interface "odbocku" a zacal sledovat o > jaky typ provozu jde... Nebude problem udelat odbocku na tom switchi, ktery tam ted je. Jenze co hledat? Prakticky vzdy se vypadky zacnou objevovat, az je provoz "vyssi". Pri par mbit/s (do 10) se to nedeje nikdy (nebo ja to aspon nepozoroval.) A naopak, ted tece down/up 27/5 mbit a linka slape bez problemu... Zbynek From rtomanek at epark.cz Sun Apr 5 13:16:11 2009 From: rtomanek at epark.cz (=?iso-8859-2?Q?Radom=EDr_Tom=E1nek?=) Date: Sun, 5 Apr 2009 13:16:11 +0200 Subject: Zahadny PacketLoss In-Reply-To: <49D87EE7.6050505@burgnet.cz> Message-ID: <200904051116.n35BGAWX002166@dual.ms.mff.cuni.cz> Ona taky muze klidne byt vadna ta sitovka.... RaT -----Original Message----- From: users-l-bounces at freebsd.cz [mailto:users-l-bounces at freebsd.cz] On Behalf Of Zbyn?k Burget Sent: Sunday, April 05, 2009 11:51 AM To: FreeBSD mailing list Subject: Re: Zahadny PacketLoss Vilem Kebrt napsal(a): > Pozor napriklad 10.5 Ghz pojitka od fy. SVM mely jeden cas ten problem > ze pri urcite sekvenci dat doslo k "rozladeni" synchronizacniho > oscilatoru a spoj zacal chybovat....a byla to cela serie spoju, tudiz Vsechny 10 GHz pojitka, o kterych jsem mluvil jsou od Summit Development a na te problematicke strane to byl nejdriv UNI 40 a ted je tam QAM 50 S temi UNI byly kdysi taky problemy, ale uplne jineho typu. Udelal jsem jiny test, vnejsi iface routeru jsem zapojil pres switch (Cisco) a zkusil pingnout na jiny PC pripojeny do onoho switche - vypadky jsou tam taky - takze problem bude skoro urcite nekde na strane routeru. Jeste mam v planu tohle otestovat trochu vic do hloubky. K tomu jeden napad - nemuze byt treba chyba v kabelazi? Zeby to fungovalo, ale prece jen ne uplne 100%? Router a switch nejsou vedle sebe, takze jejich zkusebni propojeni jinou trasou by nebylo uplne trivialni. Zatim jsem tuto variantu chtel vyloucit, protoze jsem se jete nestekal s tim, ze by vadna kabelaz mohla zpusobit takovouto chybu (ale nesetkal jsem se se spoustou jinych veci). Kdyby to timto (i jen teoreticky) byt mohlo, tak tam ty druhe draty zkusim natahnout. > Spise bych skusil si dat na oba interface "odbocku" a zacal sledovat o > jaky typ provozu jde... Nebude problem udelat odbocku na tom switchi, ktery tam ted je. Jenze co hledat? Prakticky vzdy se vypadky zacnou objevovat, az je provoz "vyssi". Pri par mbit/s (do 10) se to nedeje nikdy (nebo ja to aspon nepozoroval.) A naopak, ted tece down/up 27/5 mbit a linka slape bez problemu... Zbynek -- FreeBSD mailing list (users-l at freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l From freebsd at ada-net.cz Sun Apr 5 17:55:16 2009 From: freebsd at ada-net.cz (=?ISO-8859-2?Q?Petr_Bezd=ECk?=) Date: Sun, 05 Apr 2009 17:55:16 +0200 Subject: Zahadny PacketLoss In-Reply-To: <49D87EE7.6050505@burgnet.cz> References: <49D5DDC5.5060008@burgnet.cz> <49D7A371.8050803@gmail.com> <49D87EE7.6050505@burgnet.cz> Message-ID: <49D8D464.8000607@ada-net.cz> Zbyn?k Burget napsal(a): > > Nebude problem udelat odbocku na tom switchi, ktery tam ted je. Jenze co > hledat? Prakticky vzdy se vypadky zacnou objevovat, az je provoz > "vyssi". Pri par mbit/s (do 10) se to nedeje nikdy (nebo ja to aspon > nepozoroval.) A naopak, ted tece down/up 27/5 mbit a linka slape bez > problemu... > > Ahoj, dej si grafovat errors a discards pocitadla na obou sitovkach toho routeru a nejlepe i na pouzitych portech toho switche (do kterych je zapojeno radio a router). Pokud pouzivas polling, tak zkus grafovat i kern.polling.lost_polls - narazove zvysene lost_polls muze byt indikatorem. Vykreslene hodnoty zkus porovnat s grafy pruchoziho provozu (zda tam je nejaka souvoslost s pruchozimy daty nebo poctem paketu). Ke kabelazi: na ciscu jde udelat orientacni test test cable-diagnostics tdr int _nazev_ifacu_ vysledek zobrazis: show cable-diagnostics tdr int _nazev_ifacu_ (pokud je nektery par kabelaze vyrazne kratsi - muze byt problem v kabelu) Zkontroluj vyjednane rychlosti na obou stranach. Indikatorem, ze je neco spatne jsou chybove pocitadla na sitovkach i portech switche - pokud narustaji, zameril bych se na kabelaz. Nekdy pomaha vypnout vyjednavani a nastavit rychlosti portu jak na switchi, tak na routeru natvrdo. Dale zminujes NAT - natd je docela zrout a pri hodne zaznamech ve stavove tabulce muze byt uzkym mistem prave on. Zkontroluj, ze do divert pravidla zenes opravdu jen to, co tam patri. -- Mgr. Petr Bezd?k email: pbezdek at ada-net.cz web: www.ada-net.cz From kolar.radim at gmail.com Sun Apr 5 18:45:52 2009 From: kolar.radim at gmail.com (Radim Kolar) Date: Sun, 5 Apr 2009 18:45:52 +0200 Subject: FreedBSD pod ESX vmware In-Reply-To: <781610037.20090331212137@cierny.sk> References: <49CEC8C7.8080400@kn.vutbr.cz> <781610037.20090331212137@cierny.sk> Message-ID: <707e14750904050945p6f6f4f64h2f63ede245c37d59@mail.gmail.com> v poslednim vmware workstation pribyla podpora freebsd 7.1, tak to muzete otestit. From zburget at burgnet.cz Sun Apr 5 18:57:32 2009 From: zburget at burgnet.cz (=?ISO-8859-2?Q?Zbyn=ECk_Burget?=) Date: Sun, 05 Apr 2009 18:57:32 +0200 Subject: Zahadny PacketLoss In-Reply-To: <49D8D464.8000607@ada-net.cz> References: <49D5DDC5.5060008@burgnet.cz> <49D7A371.8050803@gmail.com> <49D87EE7.6050505@burgnet.cz> <49D8D464.8000607@ada-net.cz> Message-ID: <49D8E2FC.4040800@burgnet.cz> Petr Bezd?k napsal(a): > dej si grafovat errors a discards pocitadla na obou sitovkach toho podle netstat -i nebyla na zadnem iface chyba - nikdy jsem ani chybu nevidel v dennim vypisu - toho bych si urcit vsimnul uz driv: Name Mtu Network Address Ipkts Ierrs Opkts Oerrs Coll em0 1500 00:15:17:23:56:06 479921994 0 391612025 0 0 em1 1500 00:15:17:23:56:07 392925079 0 470183096 0 0 > routeru a nejlepe i na pouzitych portech toho switche (do kterych je > zapojeno radio a router). Pokud pouzivas polling, tak zkus grafovat i Ani na Ciscu to nevypada nijak zle: Overview Statistics Interface,Port Description,Tx Rate(Mbps),Rx Rate(Mbps),Tx BW Usage %,Rx BW Usage %,Tx Rate(pps),Rx Rate(pps),Tx Mcast/Bcast Rate(pps),Rx Mcast/Bcast Rate (pps),Discarded Pkts,Pkts with Errors Fa0/24,ISP,6.20557,36.21877,6.20557,36.21877,2915.1,3857.1,0,1.3,0,1 Gi0/2,RouterOUT,35.99118,6.18344,3.59912,0.61834,3832.9,2896.2,1.3,0,0,0 Transmit Statistics Interface,Port Description,Unicast,Multicast,Broadcast,Total Collisions,Excessive Collisions,Late Collisions Fa0/24,ISP,1073744233,196081,10145,0,0,0 Gi0/2,RouterOUT,814070498,9339590,20544337,0,0,0 Receive Statistics Interface,Port Description,Unicast,Multicast,Broadcast,Discarded,Alignment Errors,FCS Errors,Collision Fragments,Undersized,Oversized Fa0/24,ISP,812913651,9373064,20545267,0,0,1,0,0,0 Gi0/2,RouterOUT,1072701741,0,9799,0,0,0,0,0,0 Pokud se da vycist jeste neco vic, o tom ted nevim > kern.polling.lost_polls - narazove zvysene lost_polls muze byt je pravda, ze lost_polls se postupem casu zvysuji - zatim jsem se ale nikde nedocetl, jakych hodnot by to rozumne melo nabyvat, pripadne jake zvysovani je jeste v poradku a jake uz ne. A pokud se lost_polls zvysuji vic, nez je rozumne, tak co delat, aby se tak nedelo. > indikatorem. Vykreslene hodnoty zkus porovnat s grafy pruchoziho provozu > (zda tam je nejaka souvoslost s pruchozimy daty nebo poctem paketu). > > Ke kabelazi: na ciscu jde udelat orientacni test > > test cable-diagnostics tdr int _nazev_ifacu_ > > vysledek zobrazis: > show cable-diagnostics tdr int _nazev_ifacu_ Tenhle test bohuzel muj switch neumi (je to jeden z nejnizsich modelu C2960) > > Dale zminujes NAT - natd je docela zrout a pri hodne zaznamech ve > stavove tabulce muze byt uzkym mistem prave on. Zkontroluj, ze do divert > pravidla zenes opravdu jen to, co tam patri. NAT jsem podezrival mezi prvnima - nicmene muj pingtest, u ktereho vypadky pozoruju, pres NAT celkem urcite nejde - pro jistotu overeno jeste ted pri psani odpovedi pomoci tcpdumpu. Zbynek From vilem.kebrt at gmail.com Mon Apr 6 05:34:59 2009 From: vilem.kebrt at gmail.com (Vilem Kebrt) Date: Mon, 06 Apr 2009 05:34:59 +0200 Subject: Zahadny PacketLoss In-Reply-To: <49D8E2FC.4040800@burgnet.cz> References: <49D5DDC5.5060008@burgnet.cz> <49D7A371.8050803@gmail.com> <49D87EE7.6050505@burgnet.cz> <49D8D464.8000607@ada-net.cz> <49D8E2FC.4040800@burgnet.cz> Message-ID: <49D97863.2060403@gmail.com> Ahoj, Nevim jak ve freebsd, pouzivam ho kratce a zatim spise jako aplikacni servery ale neco podobneho mi delal linuxovy nat...musel jsem zvednout hodnotu net.ipv4.ip_conntrack_max ...a kupodivu to ovlivnovalo i pakety ktery skrze nat vubec nesly...ale jak rikam, tohle mi delal linux ne freebsd.... vilem Zbyn?k Burget napsal(a): > > > Petr Bezd?k napsal(a): >> dej si grafovat errors a discards pocitadla na obou sitovkach toho > > podle netstat -i nebyla na zadnem iface chyba - nikdy jsem ani chybu > nevidel v dennim vypisu - toho bych si urcit vsimnul uz driv: > > Name Mtu Network Address Ipkts Ierrs Opkts > Oerrs Coll > em0 1500 00:15:17:23:56:06 479921994 0 391612025 > 0 0 > em1 1500 00:15:17:23:56:07 392925079 0 470183096 > 0 0 > > >> routeru a nejlepe i na pouzitych portech toho switche (do kterych je >> zapojeno radio a router). Pokud pouzivas polling, tak zkus grafovat i > > Ani na Ciscu to nevypada nijak zle: > > Overview Statistics > Interface,Port Description,Tx Rate(Mbps),Rx Rate(Mbps),Tx BW Usage %,Rx > BW Usage %,Tx Rate(pps),Rx Rate(pps),Tx Mcast/Bcast Rate(pps),Rx > Mcast/Bcast Rate (pps),Discarded Pkts,Pkts with Errors > Fa0/24,ISP,6.20557,36.21877,6.20557,36.21877,2915.1,3857.1,0,1.3,0,1 > Gi0/2,RouterOUT,35.99118,6.18344,3.59912,0.61834,3832.9,2896.2,1.3,0,0,0 > > Transmit Statistics > Interface,Port Description,Unicast,Multicast,Broadcast,Total > Collisions,Excessive Collisions,Late Collisions > Fa0/24,ISP,1073744233,196081,10145,0,0,0 > Gi0/2,RouterOUT,814070498,9339590,20544337,0,0,0 > > Receive Statistics > Interface,Port > Description,Unicast,Multicast,Broadcast,Discarded,Alignment Errors,FCS > Errors,Collision Fragments,Undersized,Oversized > Fa0/24,ISP,812913651,9373064,20545267,0,0,1,0,0,0 > Gi0/2,RouterOUT,1072701741,0,9799,0,0,0,0,0,0 > > Pokud se da vycist jeste neco vic, o tom ted nevim > > > >> kern.polling.lost_polls - narazove zvysene lost_polls muze byt > > je pravda, ze lost_polls se postupem casu zvysuji - zatim jsem se ale > nikde nedocetl, jakych hodnot by to rozumne melo nabyvat, pripadne jake > zvysovani je jeste v poradku a jake uz ne. A pokud se lost_polls zvysuji > vic, nez je rozumne, tak co delat, aby se tak nedelo. > > >> indikatorem. Vykreslene hodnoty zkus porovnat s grafy pruchoziho >> provozu (zda tam je nejaka souvoslost s pruchozimy daty nebo poctem >> paketu). >> >> Ke kabelazi: na ciscu jde udelat orientacni test >> >> test cable-diagnostics tdr int _nazev_ifacu_ >> >> vysledek zobrazis: >> show cable-diagnostics tdr int _nazev_ifacu_ > > Tenhle test bohuzel muj switch neumi (je to jeden z nejnizsich modelu > C2960) > >> >> Dale zminujes NAT - natd je docela zrout a pri hodne zaznamech ve >> stavove tabulce muze byt uzkym mistem prave on. Zkontroluj, ze do >> divert pravidla zenes opravdu jen to, co tam patri. > > NAT jsem podezrival mezi prvnima - nicmene muj pingtest, u ktereho > vypadky pozoruju, pres NAT celkem urcite nejde - pro jistotu overeno > jeste ted pri psani odpovedi pomoci tcpdumpu. > > > Zbynek > -- > FreeBSD mailing list (users-l at freebsd.cz) > http://www.freebsd.cz/listserv/listinfo/users-l From dan at obluda.cz Mon Apr 6 07:39:30 2009 From: dan at obluda.cz (Dan Lukes) Date: Mon, 06 Apr 2009 07:39:30 +0200 Subject: Zahadny PacketLoss In-Reply-To: <49D87EE7.6050505@burgnet.cz> References: <49D5DDC5.5060008@burgnet.cz> <49D7A371.8050803@gmail.com> <49D87EE7.6050505@burgnet.cz> Message-ID: <49D99592.1010502@obluda.cz> Zbyn?k Burget wrote: > jeden napad - nemuze byt treba chyba v kabelazi? Zeby to fungovalo, ale > prece jen ne uplne 100%? Router a switch nejsou vedle sebe, takze jejich Muze. Z tech trivialnich - spatne zapojene pary zpusobi preslechy a to zpusobi, ze se komunikace bude navzajem rusit (takze pakety se budou pravdepodobneji ztracet pri vyssim zatizeni). Nemusi ale jit o spatne zapojene pary, ale proste o vadny kabel. Muze jit take o externi ruseni z neceho jineho, co lezi pobliz. No a nebo taky ne ;-) Statickou zavadu kabelu najdes nejlepe promerenim kabelu (slusnym merakem, takove ty LEDkove pipace jsou k nicemu), dynamickou zavadu (souvisejici s externim rusenim, nebo provozem v opacnem smeru) ti nejlepe ukaze kristalova koule ;-) No a nebo taky ne ;-) "Napady" v kazdem pripade nehledej ve statistikach odesilaciho stroje - ale na stroji prijimajicim. Obecne je spise velmi nepravdepodobne, ze by se paket ztratil uplne - on nejspis dorazi nejak poskozeny a je "vytriden" nekterym z prijimacich zarizeni (to nemusi byt az to koncove, ale mezi je to pojitko - takze i jeho statistiky mohou byt voditkem, pokud se tam k necemu takovemu da dostat). Dan From dan at obluda.cz Mon Apr 6 07:40:35 2009 From: dan at obluda.cz (Dan Lukes) Date: Mon, 06 Apr 2009 07:40:35 +0200 Subject: Zahadny PacketLoss In-Reply-To: <49D8D464.8000607@ada-net.cz> References: <49D5DDC5.5060008@burgnet.cz> <49D7A371.8050803@gmail.com> <49D87EE7.6050505@burgnet.cz> <49D8D464.8000607@ada-net.cz> Message-ID: <49D995D3.9010300@obluda.cz> Petr Bezd?k wrote: > Dale zminujes NAT - natd je docela zrout a pri hodne zaznamech ve > stavove tabulce muze byt uzkym mistem prave on. Zkontroluj, ze do divert > pravidla zenes opravdu jen to, co tam patri. Pakety ztracene tady by se mely objevit ve statistikach. Dan From radek at ceskedomeny.cz Tue Apr 7 09:37:24 2009 From: radek at ceskedomeny.cz (Radek Krejca) Date: Tue, 7 Apr 2009 09:37:24 +0200 Subject: Gnome 2 Message-ID: <547207504.20090407093724@starnet.cz> Ahoj, musel jsem prejit z KDE, protoze 4kova verze opravdu zatim neni k tomu na Gnome. Funguje skvele a mnohonasobne dostacuje mym pozadavkum, mam ale par kosmetickych veci, se kterymi si na FBSD nevim rady: 1. gdm - jak mohu zmenit defaultni jazyk a klavesnici pro prihlaseni (pro kdm fungovalo jak locale, tak kdmrc) gdm.conf je, ale dost podivny, kdesi v dbus-1 a absolutne netusim, jak to nastavit. 2. nefunguje mi vypnuti ani restart pocitace pres gnome - nestane se nic, v kde to fungovalo 3. jak nastavit automount pro neprivilegovane uzivatele (to je obecnejsi dotaz i pro kde) - na linuxu to nejak chodi, ale neprisel jsem na ten mechanismus, je mi jasne, ze to bude delat nejaky demon, nicmene je jich tam cela rada. Kdyz zastrcim treba flash, tak pod rootem se v /media vytvori prislusny adresar a mountne se - pod neprivilegovanym to samozrejme nejde. Diky za rady Radek -- S pozdravem, Radek Krejca STARNET, s. r. o. radek at ceskedomeny.cz From chsajarsa at gmail.com Tue Apr 7 09:53:52 2009 From: chsajarsa at gmail.com (Tomas Zajpt) Date: Tue, 7 Apr 2009 09:53:52 +0200 Subject: Gnome 2 In-Reply-To: <547207504.20090407093724@starnet.cz> References: <547207504.20090407093724@starnet.cz> Message-ID: Zdravim > ?2. nefunguje mi vypnuti ani restart pocitace pres gnome - nestane > ?se nic, v kde to fungovalo S timhle jsem nikdy problem nemel. Davam,ale vsechny dekstopove uzivatele automaticky do groupy operator a wheel. > ?3. jak nastavit automount pro neprivilegovane uzivatele (to je > ?obecnejsi dotaz i pro kde) - na linuxu to nejak chodi, ale neprisel > ?jsem na ten mechanismus, je mi jasne, ze to bude delat nejaky > ?demon, nicmene je jich tam cela rada. Kdyz zastrcim treba flash, > ?tak pod rootem se v /media vytvori prislusny adresar a mountne se - > ?pod neprivilegovanym to samozrejme nejde. Nastavis prava v /etc/devd.conf . -- S pozdravem Tomas From freebsd at server.juhacr.net Sat Apr 11 15:59:57 2009 From: freebsd at server.juhacr.net (Jaroslav Juha) Date: Sat, 11 Apr 2009 15:59:57 +0200 Subject: "Dva NATy" za jednim strojem Message-ID: <49E0A25D.2060201@server.juhacr.net> Zdravim konferenci, resim nasledujici problem - mam jeden FBSD router, ktery ma 1x WAN a 1x LAN, na LAN pouzivam dva rozsahy adres - 192.168.2.0/27 a 172.16.10.0/28. Na WAN mam dve verejne IP adresy + NAT. Potrebuji zajistit to, aby se mi komunikace ze segmentu 192.168.2.0/27 tvarila jako ze je z jedne venkovni IP a ze segmentu 172.16.10.0/28 jako ze je z druhe venkovni IP. Pritom ale, aby byly oba segmenty za NATem - adresy na WAN jsou obe verejne... Zatim v tom nemam moc jasno... Poradi nekdo? Diky Jarda From mk7ygre33apsq23c at foo.sk Sat Apr 11 17:07:20 2009 From: mk7ygre33apsq23c at foo.sk (Richard Willmann) Date: Sat, 11 Apr 2009 17:07:20 +0200 Subject: "Dva NATy" za jednim strojem References: <49E0A25D.2060201@server.juhacr.net> Message-ID: <7D2A91DAED524124A7B2D3D318929F7E@rwillmannhome> > resim nasledujici problem - mam jeden FBSD router, ktery ma 1x WAN a 1x > LAN, na LAN pouzivam dva rozsahy adres - 192.168.2.0/27 a 172.16.10.0/28. > Na WAN mam dve verejne IP adresy + NAT. Potrebuji zajistit to, aby se mi > komunikace ze segmentu 192.168.2.0/27 tvarila jako ze je z jedne venkovni > IP a ze segmentu 172.16.10.0/28 jako ze je z druhe venkovni IP. Pritom > ale, aby byly oba segmenty za NATem - adresy na WAN jsou obe verejne... > Zatim v tom nemam moc jasno... Poradi nekdo? Na tom nie je nic zlozite. V pripade ak pouzivas PF, potrebujes len dve "NAT" pravidla: nat on $WAN_IF inet from 192.168.2.0/27 to any -> $WAN_IP1 nat on $WAN_IF inet from 172.16.10.0/28 to any -> $WAN_IP2 zvysok nastavis tak ako obvykle (tj. povolis outgoing traffic z LAN segmentov pripadne nastavis port forwarding na WAN). Mierne komplikovanejsia situacia by nastala ak by si mal dve WAN rozhrania a chcel napriklad loadbalancovat. Ale to sa da relativne jednoducho zabezpecit na urovni PF (route-to). d~ rwi From dan at obluda.cz Sun Apr 12 04:59:31 2009 From: dan at obluda.cz (Dan Lukes) Date: Sun, 12 Apr 2009 04:59:31 +0200 Subject: "Dva NATy" za jednim strojem In-Reply-To: <49E0A25D.2060201@server.juhacr.net> References: <49E0A25D.2060201@server.juhacr.net> Message-ID: <49E15913.6040503@obluda.cz> Jaroslav Juha wrote: > resim nasledujici problem - mam jeden FBSD router, ktery ma 1x WAN a 1x > LAN, na LAN pouzivam dva rozsahy adres - 192.168.2.0/27 a > 172.16.10.0/28. Na WAN mam dve verejne IP adresy + NAT. Potrebuji > zajistit to, aby se mi komunikace ze segmentu 192.168.2.0/27 tvarila > jako ze je z jedne venkovni IP a ze segmentu 172.16.10.0/28 jako ze je z > druhe venkovni IP. Pritom ale, aby byly oba segmenty za NATem - adresy > na WAN jsou obe verejne... Zatim v tom nemam moc jasno... Poradi nekdo? To neni tak slozite. Ty NATy proste musis mit dva. Jeden musi na divert port dostavat komunikaci z jednoho vnitrniho rozsahu a vsechno, co prijde na jemu prislusnou vnejsi IP. No a ten druhy zas na jiny divert port ten druhy rozsah a tu druhou vnejsi IP. To vsechno zajistis v konfiguraci firewallu. Zbyva drobnost - spustit ty NATy dva - jeden pro ten jeden divert port, druhy pro ten druhy. Jo - a kazdemu z nich musus rict IP adresu na kterou preklada (tusim option '-a'). Dan From veselsky at pcneos.cz Wed Apr 15 13:26:58 2009 From: veselsky at pcneos.cz (Jiri Veselsky) Date: Wed, 15 Apr 2009 13:26:58 +0200 Subject: "Dva NATy" za jednim strojem In-Reply-To: <49E0A25D.2060201@server.juhacr.net> References: <49E0A25D.2060201@server.juhacr.net> Message-ID: Zdravim vsechny. Resim podobny (uplne jiny) problem a pozadal bych vas o nakopnuti. Mam standalone FreeBSD 7.1 s pf, na nem sluzby jako http a smtp atd... K tomuto stroji mam dve konektivity od dvou isp. Veskery provoz ted odchazi pres default routu poskytovatele1. Potreboval bych nastavit, aby urcite sluzby (napr smtp) odchazelo pres poskytovatele2. Odchozi data pochazi primo z toho stroje, neni za nim zadna sit s NATem atp. Diky za kazdou radu, google mi zatim moc nepomaha Jirka From bd at gy.svitavy.cz Wed Apr 15 13:36:14 2009 From: bd at gy.svitavy.cz (Michal Bednar) Date: Wed, 15 Apr 2009 13:36:14 +0200 Subject: "Dva NATy" za jednim strojem In-Reply-To: References: <49E0A25D.2060201@server.juhacr.net> Message-ID: <20090415113451.M55637@gy.svitavy.cz> On Wed, 15 Apr 2009 13:26:58 +0200, Jiri Veselsky wrote > atd... K tomuto stroji mam dve konektivity od dvou isp. Veskery > provoz ted odchazi pres default routu poskytovatele1. Potreboval > bych nastavit, aby urcite sluzby (napr smtp) odchazelo pres poskytovatele2. > Odchozi data pochazi primo z toho stroje, neni za nim zadna sit s > NATem atp. Diky za kazdou radu, google mi zatim moc nepomaha Jirka S pf nempomohu, ale u ipfw to resim pomoci fwd | forward a funguje bezvadne. V pravidlech jen definuji, ktery provoz ma kudy jit. -- Michal Bednar Gymnazium Svitavy From filip.huska at coolhousing.net Wed Apr 15 13:43:41 2009 From: filip.huska at coolhousing.net (=?WINDOWS-1252?Q?Filip_Hu=9Aka?=) Date: Wed, 15 Apr 2009 13:43:41 +0200 Subject: "Dva NATy" za jednim strojem In-Reply-To: References: <49E0A25D.2060201@server.juhacr.net> Message-ID: <5F898AE5-13DE-44D9-8C66-CF774B7ADDCE@coolhousing.net> Mozna se ubiram blbe, FreeBSD moc neznam ... zatim ... ale co takhle vytvoriy virtualni interface - na nem spustene dane sluzby se statickym routingem na providera 2 ? Je to trochu drbani se za uchem pres hlavu. Druha moznost, elegantnejsi, je qosovat sluzby na vstupu a dle vahy posilat vlevo/ vpravo dle preference ... tim by melo byt zajistena plynula funkcnost kdyz jeden z nich vypadne ... Statice bych se vyhnul ... neni nic horsiho nez vypadek sluzeb. f. On Apr 15, 2009, at 1:26 PM, Jiri Veselsky wrote: > Zdravim vsechny. > Resim podobny (uplne jiny) problem a pozadal bych vas o nakopnuti. > Mam standalone FreeBSD 7.1 s pf, na nem sluzby jako http a smtp atd... > K tomuto stroji mam dve konektivity od dvou isp. > Veskery provoz ted odchazi pres default routu poskytovatele1. > Potreboval bych nastavit, aby urcite sluzby (napr smtp) odchazelo > pres poskytovatele2. > Odchozi data pochazi primo z toho stroje, neni za nim zadna sit s > NATem atp. > Diky za kazdou radu, google mi zatim moc nepomaha > Jirka > -- > FreeBSD mailing list (users-l at freebsd.cz) > http://www.freebsd.cz/listserv/listinfo/users-l > From mk7ygre33apsq23c at foo.sk Wed Apr 15 15:28:12 2009 From: mk7ygre33apsq23c at foo.sk (Richard Willmann) Date: Wed, 15 Apr 2009 15:28:12 +0200 Subject: "Dva NATy" za jednim strojem References: <49E0A25D.2060201@server.juhacr.net> Message-ID: > K tomuto stroji mam dve konektivity od dvou isp. > Veskery provoz ted odchazi pres default routu poskytovatele1. > Potreboval bych nastavit, aby urcite sluzby (napr smtp) odchazelo pres > poskytovatele2. > Odchozi data pochazi primo z toho stroje, neni za nim zadna sit s NATem > atp. niekedy je manualova stranka o dost lepsia nez Google :) maly priklad z nasho FW: pass in quick on $C_UP2_IF reply-to ( vlan3 X.X.X.X ) inet proto icmp from any to $C_UP2_IP icmp-type { echoreq } keep state d~ rwi From 000.fbsd at quip.cz Wed Apr 15 16:18:00 2009 From: 000.fbsd at quip.cz (Miroslav Lachman) Date: Wed, 15 Apr 2009 16:18:00 +0200 Subject: "Dva NATy" za jednim strojem In-Reply-To: References: <49E0A25D.2060201@server.juhacr.net> Message-ID: <49E5EC98.9090000@quip.cz> Jiri Veselsky wrote: > Zdravim vsechny. > Resim podobny (uplne jiny) problem a pozadal bych vas o nakopnuti. > Mam standalone FreeBSD 7.1 s pf, na nem sluzby jako http a smtp atd... > K tomuto stroji mam dve konektivity od dvou isp. > Veskery provoz ted odchazi pres default routu poskytovatele1. > Potreboval bych nastavit, aby urcite sluzby (napr smtp) odchazelo pres > poskytovatele2. > Odchozi data pochazi primo z toho stroje, neni za nim zadna sit s NATem > atp. > Diky za kazdou radu, google mi zatim moc nepomaha Nejsem si uplne jisty, ale pokud ten stroj ma dve IP adresy od dvou ISP, tak pak by snad mohlo stacit tu sluzbu pustit jen na danne IP a pak by odchozi data mela jit tim smerem. Pokud se pletu, tak dale to jde asi resit i podle toho, co se pise zde: http://www.openbsd.org/faq/pf/pools.html Mirek From freebsd-users-l at wilbury.sk Wed Apr 15 16:26:20 2009 From: freebsd-users-l at wilbury.sk (Juraj Lutter) Date: Wed, 15 Apr 2009 16:26:20 +0200 Subject: "Dva NATy" za jednim strojem In-Reply-To: References: <49E0A25D.2060201@server.juhacr.net> Message-ID: <49E5EE8C.8010300@wilbury.sk> Richard Willmann wrote: > niekedy je manualova stranka o dost lepsia nez Google :) > > maly priklad z nasho FW: > > pass in quick on $C_UP2_IF reply-to ( vlan3 X.X.X.X ) inet proto icmp > from any to $C_UP2_IP icmp-type { echoreq } keep state Spravny BOFH pristup k rieseniu problemu ;-) -- Juraj Lutter | /\ ASCII Ribbon Campaign otis (at) wilbury (dot) sk | \/ - NO HTML/RTF in e-mail http://www.wilbury.sk/ | /\ - NO Word docs in e-mail JID: otis (at) jabber (dot) vx (dot) sk !07/11 PDP a ni deppart m'I !pleH From mk7ygre33apsq23c at foo.sk Wed Apr 15 16:30:34 2009 From: mk7ygre33apsq23c at foo.sk (Richard Willmann) Date: Wed, 15 Apr 2009 16:30:34 +0200 Subject: "Dva NATy" za jednim strojem References: <49E0A25D.2060201@server.juhacr.net> <49E5EC98.9090000@quip.cz> Message-ID: > Nejsem si uplne jisty, ale pokud ten stroj ma dve IP adresy od dvou ISP, > tak pak by snad mohlo stacit tu sluzbu pustit jen na danne IP a pak by > odchozi data mela jit tim smerem. Pokud se pletu, tak dale to jde asi urcite nie, pri odpovedi sa pouzije default brana. > resit i podle toho, co se pise zde: > http://www.openbsd.org/faq/pf/pools.html hmmm, su dve direktivy, route-to a reply-to ... kazda na nieco trosku ine. d~ rwi From mk7ygre33apsq23c at foo.sk Wed Apr 15 16:33:15 2009 From: mk7ygre33apsq23c at foo.sk (Richard Willmann) Date: Wed, 15 Apr 2009 16:33:15 +0200 Subject: "Dva NATy" za jednim strojem [OFF] References: <49E0A25D.2060201@server.juhacr.net> <49E5EE8C.8010300@wilbury.sk> Message-ID: <3A9D950E1D7D453F84D8D39B245977AF@rwillmannhome> >> maly priklad z nasho FW: >> >> pass in quick on $C_UP2_IF reply-to ( vlan3 X.X.X.X ) inet proto icmp >> from any to $C_UP2_IP icmp-type { echoreq } keep state > > Spravny BOFH pristup k rieseniu problemu ;-) Juraj, tak teraz som musel pouzit Google ja. Sice som nasiel na Wiki ale je to tak dlhe, ze sa mi to nechce citat. Co to je "BOFH"? A preco mi hovoris ze som blbec? :))) rwi From veselsky at pcneos.cz Wed Apr 15 16:47:17 2009 From: veselsky at pcneos.cz (Jiri Veselsky) Date: Wed, 15 Apr 2009 16:47:17 +0200 Subject: "Dva NATy" za jednim strojem In-Reply-To: <49E5EC98.9090000@quip.cz> References: <49E0A25D.2060201@server.juhacr.net> <49E5EC98.9090000@quip.cz> Message-ID: Pro Richarda... cekal jsem rtfm trochu drive, ale jsem rad, ze me konference nezklamala nikoho jsem neurazil a tak netusim, proc se nekdo snazi urazit me manualove stranky si myslim mam prectene nekolikrat i pozpatku a nepisu sem hned jak narazim na problem, pisu az uz opravdu zkusim vse mozne i nemozne trochu to upresnim stroj ma bge0 a na nem dve ip IP1 X.X.X.206 s GW1 X.X.X.201 IP2 Y.Y.Y.174 s GW2 Y.Y.Y.169 default GW je Y.Y.Y.169 na IP X.X.X.206 je smtp na IP Y.Y.Y.174 je http, ftp, pop3 na stroji neni nat a z vnitrni bge1 neni povolen zadny traffic (pouze ssh :-)) v hosts mam radek: mail.aaaa.cz X.X.X.206 v main.cf(postfix) mam radky myhostname = mail.aaaa.cz inet_interfaces = X.X.X.206, 127.0.0.1 smtp traffic, o ktery mi jde, pochazi z tohoto stroje, neprijde ani z venkovni ani z vnitrni site resim to, ze pokud stroj vygeneruje email, nejen ze i kdyz je na spravne ip X.X.X.206 se se vzdalenym hostem spoji pres default gw (coz se dalo cekat, jelikoz nevi, kudy to ma poslat) ale jeste se pripioji jako Y.Y.Y.174 coz uz nechapu vubec tu druhou vec jde vyresit prasacky nat on $if_ext from any to anz port 25 -> X.X.X.206 a potom se bude tvarit jak ma ale to aby odeslal pres spravneho isp se mi stale nedari diky vsem jeste jednou a kdybyste si odpustili to, abych si precetl manual, ocenil bych to zvlastni je, ze kdyz se tu resi kraviny, ktere s fbsd nemaji nic spolecneho, tak se napadu objevi na desitky... Jirka From freebsd-users-l at wilbury.sk Wed Apr 15 16:55:32 2009 From: freebsd-users-l at wilbury.sk (Juraj Lutter) Date: Wed, 15 Apr 2009 16:55:32 +0200 Subject: "Dva NATy" za jednim strojem [OFF] In-Reply-To: <3A9D950E1D7D453F84D8D39B245977AF@rwillmannhome> References: <49E0A25D.2060201@server.juhacr.net> <49E5EE8C.8010300@wilbury.sk> <3A9D950E1D7D453F84D8D39B245977AF@rwillmannhome> Message-ID: <49E5F564.6060108@wilbury.sk> Richard Willmann wrote: > Juraj, tak teraz som musel pouzit Google ja. Sice som nasiel na Wiki ale > je to tak dlhe, ze sa mi to nechce citat. > > Co to je "BOFH"? A preco mi hovoris ze som blbec? :))) > To bol priam kompliment ;-) Ja sem uz prilis neprispievam, prace je vela, ale pozeram ze ty jediny davas velmi relevantne a vecne odpovede na otazky. -- Juraj Lutter | /\ ASCII Ribbon Campaign otis (at) wilbury (dot) sk | \/ - NO HTML/RTF in e-mail http://www.wilbury.sk/ | /\ - NO Word docs in e-mail JID: otis (at) jabber (dot) vx (dot) sk !07/11 PDP a ni deppart m'I !pleH From mk7ygre33apsq23c at foo.sk Wed Apr 15 17:01:48 2009 From: mk7ygre33apsq23c at foo.sk (Richard Willmann) Date: Wed, 15 Apr 2009 17:01:48 +0200 Subject: "Dva NATy" za jednim strojem References: <49E0A25D.2060201@server.juhacr.net> <49E5EC98.9090000@quip.cz> Message-ID: <58D84ED8B0C2440995F8413F785C3026@rwillmannhome> > Pro Richarda... cekal jsem rtfm trochu drive, ale jsem rad, ze me > konference nezklamala Jirko, nebud jesitny... Poznamka o man pf.conf bola preto, lebo den ci dva dozadu som odpovedal Jaroslavovi kde v poslednom odstavci bola odpoved na tvoju otazku. > stroj ma bge0 a na nem dve ip > IP1 X.X.X.206 s GW1 X.X.X.201 > IP2 Y.Y.Y.174 s GW2 Y.Y.Y.169 .174 je primar (prva IP na iface)? > default GW je Y.Y.Y.169 > > na IP X.X.X.206 je smtp > na IP Y.Y.Y.174 je http, ftp, pop3 > na stroji neni nat a z vnitrni bge1 neni povolen zadny traffic (pouze ssh > :-)) > > v hosts mam radek: > mail.aaaa.cz X.X.X.206 > > v main.cf(postfix) mam radky > myhostname = mail.aaaa.cz > inet_interfaces = X.X.X.206, 127.0.0.1 > > smtp traffic, o ktery mi jde, pochazi z tohoto stroje, neprijde ani z > venkovni ani z vnitrni site > > resim to, ze pokud stroj vygeneruje email, nejen ze i kdyz je na spravne > ip X.X.X.206 se se vzdalenym hostem spoji pres default gw (coz se dalo > cekat, jelikoz nevi, kudy to ma poslat) ale jeste se pripioji jako > Y.Y.Y.174 coz uz nechapu vubec ak plati, ze .174 je prva IP na iface resp. default GW je z rozsahu, kde patri tato IP tak je to spravne. Postfix nepoznam ale tie riadky z configu o ktorych pises hore asi binduju postfix na nejaku IP (otazka je ci pre prichodzie alebo odchodzie spojenia - pripadne pre obe), to nema nic spolocne s routingom. > tu druhou vec jde vyresit prasacky > nat on $if_ext from any to anz port 25 -> X.X.X.206 a potom se bude tvarit > jak ma nie, spravna odpoved je v tomto pripade route-to d~ rwi From mk7ygre33apsq23c at foo.sk Wed Apr 15 17:07:15 2009 From: mk7ygre33apsq23c at foo.sk (Richard Willmann) Date: Wed, 15 Apr 2009 17:07:15 +0200 Subject: "Dva NATy" za jednim strojem [OFF] References: <49E0A25D.2060201@server.juhacr.net> <49E5EE8C.8010300@wilbury.sk><3A9D950E1D7D453F84D8D39B245977AF@rwillmannhome> <49E5F564.6060108@wilbury.sk> Message-ID: <2025DB145CAF4069AA582F229327C892@rwillmannhome> > To bol priam kompliment ;-) Ja sem uz prilis neprispievam, prace je vela, > ale pozeram ze ty jediny davas velmi relevantne a vecne odpovede na > otazky. ehm, no v tomto pripade som sa mierne sekol nakolko som zle porozumel zadaniu ... k prispievaniu - je tu par ludi co mi pomohlo, tak je fajn sa aspon pokusit to vratit. d~ rwi From 000.fbsd at quip.cz Wed Apr 15 22:07:33 2009 From: 000.fbsd at quip.cz (Miroslav Lachman) Date: Wed, 15 Apr 2009 22:07:33 +0200 Subject: "Dva NATy" za jednim strojem In-Reply-To: References: <49E0A25D.2060201@server.juhacr.net> <49E5EC98.9090000@quip.cz> Message-ID: <49E63E85.20607@quip.cz> Jiri Veselsky wrote: [...] > trochu to upresnim > > stroj ma bge0 a na nem dve ip > IP1 X.X.X.206 s GW1 X.X.X.201 > IP2 Y.Y.Y.174 s GW2 Y.Y.Y.169 > > default GW je Y.Y.Y.169 > > na IP X.X.X.206 je smtp > na IP Y.Y.Y.174 je http, ftp, pop3 > na stroji neni nat a z vnitrni bge1 neni povolen zadny traffic (pouze > ssh :-)) > > v hosts mam radek: > mail.aaaa.cz X.X.X.206 > > v main.cf(postfix) mam radky > myhostname = mail.aaaa.cz > inet_interfaces = X.X.X.206, 127.0.0.1 Mozna bych k tomu pridal jeste smtp_bind_address - to by melo zajistit prave pouziti spravne zdrojove adresy, zatim co inet_interfaces slouzi pro naslouchani a ne odchozi data iniciovana "smtp klientem" postfixu. (pouze v pripade, kdy inet_interfaces obsahuje pouze jednu adresu, se automaticky pouzije i pro smtp klienta) Pokud opet nosim drivi do lese, tak se omlouvam... snazil jsem se :) > smtp traffic, o ktery mi jde, pochazi z tohoto stroje, neprijde ani z > venkovni ani z vnitrni site > > resim to, ze pokud stroj vygeneruje email, nejen ze i kdyz je na > spravne ip X.X.X.206 se se vzdalenym hostem spoji pres default gw (coz > se dalo cekat, jelikoz nevi, kudy to ma poslat) ale jeste se pripioji > jako Y.Y.Y.174 coz uz nechapu vubec From mk7ygre33apsq23c at foo.sk Thu Apr 16 01:23:26 2009 From: mk7ygre33apsq23c at foo.sk (Richard Willmann) Date: Thu, 16 Apr 2009 01:23:26 +0200 Subject: "Dva NATy" za jednim strojem References: <49E0A25D.2060201@server.juhacr.net> <49E5EC98.9090000@quip.cz> <49E63E85.20607@quip.cz> Message-ID: > Mozna bych k tomu pridal jeste smtp_bind_address - to by melo zajistit > prave pouziti spravne zdrojove adresy, zatim co inet_interfaces slouzi pro > naslouchani a ne odchozi data iniciovana "smtp klientem" postfixu. (pouze > v pripade, kdy inet_interfaces obsahuje pouze jednu adresu, se automaticky > pouzije i pro smtp klienta) > Pokud opet nosim drivi do lese, tak se omlouvam... snazil jsem se :) skusim dve vety k tomu: server (=rozumej tcp server) musi pocuvat na "nejakych" IP adresach a "nejakych" portoch. Na urovni kniznicnych volani to vyzera obvykle takto: socket() bind() listen() accept() ... close() za accept moze v zavislosti na architekture serveru nasledovat napr. fork(). V pripade IO Multiplexing serveru to vyzera inak (cyklus a nejaka obdoba select()). Volanie socket() iba vrati "spravny" (v zavislosti na protokole) deskriptor. Dolezity je bind(), ktorym sa soketu prideli "spravna" IP adresa a "spravny" port. Po volani listen() potom server pocuva tam kde ma. Su styri kombinacie IP addresa/port. IP adresa alebo port moze byt "nula" a vtedy prislusny parameter zvoli kernel. Priklad: 0.0.0.0:22 -> pocuvaj vsade na porte 22. Server obvykle zvoli port (bola by hlupost ak by nie, inak by klient nevedel kam sa ma pripojit - aj ked su vynimky napr. pri NFS a spol.). IP adresu moze ale nemusi zvolit. Zalezi na konkretnej situacii. Toto robi asi ta prva direktiva. Na druhej strane klient funguje obvykle takto (v tomto pripade - ked sa posiela mail): socket() connect() write()/read() close() Kernel obvykle zvoli "najlepsiu" IP adresu - toto funguje tak, ze sa pozrie na cielovu IP adresu a vezme prvu IP adresu z iface, ktory je "najblizsie" k cielu. Zaroven vyberie jeden z volnych "vysokych" portov (rozsah sa da nastavit via sysctl). Avsak aj klient si moze vybrat IP adresu a port, ktory chce pouzit. Obvykle si vsak vybera - ak vobec - iba IP adresu. Toto je dolezite napr. ak su dva mail servre (master a relay) na jednom stroji. Je dobre pouzit dve IP adresy tak, aby kazdy z nich pouzival vlastnu (minimalne koli black listom napr.). Toto by mohla robit ta druha direktiva o ktorej pisal Miroslav a ktora by mohla vyriesit problem s IP adresou z "ktorej data odchadzaju". To co ktora direktiva robi co povie niekto kto vie robit s postfixom. Riesit to na urovni PF sa mi nezda spravne. d~ rwi From 000.fbsd at quip.cz Thu Apr 16 08:31:23 2009 From: 000.fbsd at quip.cz (Miroslav Lachman) Date: Thu, 16 Apr 2009 08:31:23 +0200 Subject: "Dva NATy" za jednim strojem In-Reply-To: References: <49E0A25D.2060201@server.juhacr.net> <49E5EC98.9090000@quip.cz> <49E63E85.20607@quip.cz> Message-ID: <49E6D0BB.3060108@quip.cz> Richard Willmann wrote: [...] > Avsak aj klient si moze vybrat IP adresu a port, ktory chce pouzit. > Obvykle si vsak vybera - ak vobec - iba IP adresu. > > Toto je dolezite napr. ak su dva mail servre (master a relay) na jednom > stroji. Je dobre pouzit dve IP adresy tak, aby kazdy z nich pouzival > vlastnu (minimalne koli black listom napr.). > > Toto by mohla robit ta druha direktiva o ktorej pisal Miroslav a ktora > by mohla vyriesit problem s IP adresou z "ktorej data odchadzaju". > > To co ktora direktiva robi co povie niekto kto vie robit s postfixom. > Riesit to na urovni PF sa mi nezda spravne. Ano, presne to dela ta direktiva smtp_bind_address - pouzival jsem to pred nejakym casem na stroji, ktery mel 4 IP adresy a e-maily se mely odesilat z jine nez primarni IP adresy. Ovsem vsechny 4 byly ze stejne site a vse slo pres stejnou GW. Mirek From dan at obluda.cz Thu Apr 16 17:10:02 2009 From: dan at obluda.cz (Dan Lukes) Date: Thu, 16 Apr 2009 17:10:02 +0200 Subject: balancing SMTP v multihomed siti (was: "Dva NATy" za jednim strojem) In-Reply-To: References: <49E0A25D.2060201@server.juhacr.net> <49E5EC98.9090000@quip.cz> <49E63E85.20607@quip.cz> Message-ID: <49E74A4A.8050409@obluda.cz> Richard Willmann wrote: > Na druhej strane klient funguje obvykle takto > socket() ; connect() ; write()/read() ; close() > > Kernel obvykle zvoli "najlepsiu" IP adresu - toto funguje tak, ze sa > pozrie na cielovu IP adresu a vezme prvu IP adresu z iface, ktory je > "najblizsie" k cielu. Zbyva dodat, ze "nejblizsi" se posuzuje podle obsahu routovaci tabulky. Forwardovani "jinudy" pomoci pf, ipfw ci neceho takoveho je "hack" na jine vrstve, o kterem se na teto urovni nevi a tudiz nemuze byt do uvah zahrnut. Tohle je samozrejme podstatne jen pro situace, kdy je vyber adresy ponechan na OS. Jak uz tu padlo, vetsina klientskych aplikaci dovoluje vyber adresy ovlivnit konfiguracne. Specielne pro SMTP - prichozi provoz neni treba resit, pomoci MX zaznamu se prichozi spojeni nasmeruji na IP adresu toho ISP, pres ktereho chceme tok prijimat. Odchozi provoz lze resit bud' source-routingem (realizovanym obvykle pomoci pf, ipfw nebo neceho podobneho) a konfiguracne vnucenou "spravnou" adresou - a nebo - pouzitim SMTP servery toho ISP jako "dumb maileru" - tim myslim, ze veskery odchozi provoz budu smerovat na SMTP server u toho ISP. Tim bude smer take jednoznacne urcen ... Dan From mk7ygre33apsq23c at foo.sk Fri Apr 17 01:18:10 2009 From: mk7ygre33apsq23c at foo.sk (Richard Willmann) Date: Fri, 17 Apr 2009 01:18:10 +0200 Subject: izolacia SMTP serverov [WAS: "Dva NATy" za jednim strojem] References: <49E0A25D.2060201@server.juhacr.net> <49E5EC98.9090000@quip.cz> <49E63E85.20607@quip.cz> <49E6D0BB.3060108@quip.cz> Message-ID: > Ano, presne to dela ta direktiva smtp_bind_address - pouzival jsem to pred > nejakym casem na stroji, ktery mel 4 IP adresy a e-maily se mely odesilat > z jine nez primarni IP adresy. Ovsem vsechny 4 byly ze stejne site a vse > slo pres stejnou GW. Trosku k inej teme ... Vsimli ste si, ze velka vacsina poskytovatelov pripojenia alebo webhostingu este stale nema oddeleny master od relay? A v pripade ak (nahodou) aj ma, tak nie tak ako treba (napr. forwarding prichodzieho mailu dorucuje master a nie relay). (mastrom myslim ten SMTP server, na ktory su smerovane MX zaznamy). Pripomina mi to bordel, ktory aspon na SK ma este dost vela aj velkych ISP s izolaciou DNS serverov (autority a caching only). rwi From veselsky at pcneos.cz Fri Apr 17 08:27:33 2009 From: veselsky at pcneos.cz (Jiri Veselsky) Date: Fri, 17 Apr 2009 08:27:33 +0200 Subject: izolacia SMTP serverov [WAS: "Dva NATy" za jednim strojem] In-Reply-To: References: <49E0A25D.2060201@server.juhacr.net> <49E5EC98.9090000@quip.cz> <49E63E85.20607@quip.cz> <49E6D0BB.3060108@quip.cz> Message-ID: >> Ano, presne to dela ta direktiva smtp_bind_address - pouzival jsem to >> pred nejakym casem na stroji, ktery mel 4 IP adresy a e-maily se mely >> odesilat z jine nez primarni IP adresy. Ovsem vsechny 4 byly ze stejne >> site a vse slo pres stejnou GW. > > Trosku k inej teme ... > > Vsimli ste si, ze velka vacsina poskytovatelov pripojenia alebo > webhostingu este stale nema oddeleny master od relay? > > A v pripade ak (nahodou) aj ma, tak nie tak ako treba (napr. forwarding > prichodzieho mailu dorucuje master a nie relay). > > (mastrom myslim ten SMTP server, na ktory su smerovane MX zaznamy). > > Pripomina mi to bordel, ktory aspon na SK ma este dost vela aj velkych > ISP s izolaciou DNS serverov (autority a caching only). > > rwi Jeste jednou vsem diky, nakonec se vse vyresilo samo. Zjistil jsem, ze jsme do "velkeho isp" dostali rozsah adres, ktery je snad ve vsech spamlistech co znam. Takze reseni nakonec bylo prohodit sluzby na ip adresach, ty ve spamlistech jsem pouzil na http apad a ty ciste na smtp... A k tomu master/relay (autority/caching)... o to jsem se prave snazil v posledni dobe a muzu se zaradit mezi ty stastne co to maji oddelene (konecne) Jirka From dan at obluda.cz Fri Apr 17 08:50:23 2009 From: dan at obluda.cz (Dan Lukes) Date: Fri, 17 Apr 2009 08:50:23 +0200 Subject: izolacia SMTP serverov [WAS: "Dva NATy" za jednim strojem] In-Reply-To: References: <49E0A25D.2060201@server.juhacr.net> <49E5EC98.9090000@quip.cz> <49E63E85.20607@quip.cz> <49E6D0BB.3060108@quip.cz> Message-ID: <49E826AF.1050704@obluda.cz> Richard Willmann napsal/wrote, On 04/17/09 01:18: > Vsimli ste si, ze velka vacsina poskytovatelov pripojenia alebo > webhostingu este stale nema oddeleny master od relay? ... > (mastrom myslim ten SMTP server, na ktory su smerovane MX zaznamy). > Pripomina mi to bordel, ktory aspon na SK ma este dost vela aj velkych > ISP s izolaciou DNS serverov (autority a caching only). Z technickeho hlediska nema oddeleni zadne zvlastni opodstatneni. Takze se patrne dostavame na pomerne zhave pole diskusi o "nejbezpecnejsi konfiguraci siti". Ano, vyse zminene "oddeleni" je jednou z vice moznosti jak omezit nektera rizika, ale neni to jedina moznost - a to jeste bez diskuse akceptuju nikoliv samozrejmy predpoklad, ze dana rizika potrebuje omezit kazdy poskytovatel. Zabezpeceni je prilis komplexni problematika, aby se dala resit jednoduchymi mantrami. Rozhodne tu ale nechci zahajit (a ani trpet) nejakou emocionalni debatu na tema "kdo nema oddeleno je/neni prase". Omezim se na to, ze osobni a zcela subjektivni nazor, ze "neoddeleno = bordel" povazuju za natolik zjednodusene az to mam za nepravdive. Cimz v zadnem pripade nerozporuju, ze popsane reseni je jednim z moznych resenim urcitych konkretnich problemu, ktere ISP skutecne muze potrebovat resit. Dan From jan at dusatko.org Fri Apr 17 09:22:13 2009 From: jan at dusatko.org (=?windows-1250?B?RHWa4XRrbyBKYW4=?=) Date: Fri, 17 Apr 2009 09:22:13 +0200 Subject: izolacia SMTP serverov [WAS: "Dva NATy" za jednim strojem] In-Reply-To: <49E826AF.1050704@obluda.cz> References: <49E0A25D.2060201@server.juhacr.net> <49E5EC98.9090000@quip.cz> <49E63E85.20607@quip.cz> <49E6D0BB.3060108@quip.cz> <49E826AF.1050704@obluda.cz> Message-ID: <00af01c9bf2d$3a7b4340$af71c9c0$@org> > Richard Willmann napsal/wrote, On 04/17/09 01:18: > > Vsimli ste si, ze velka vacsina poskytovatelov pripojenia alebo > > webhostingu este stale nema oddeleny master od relay? > ... > > (mastrom myslim ten SMTP server, na ktory su smerovane MX zaznamy). > > > Pripomina mi to bordel, ktory aspon na SK ma este dost vela aj > velkych > > ISP s izolaciou DNS serverov (autority a caching only). .... > Z technickeho hlediska nema oddeleni zadne zvlastni opodstatneni. Takze > se patrne dostavame na pomerne zhave pole diskusi o "nejbezpecnejsi > konfiguraci siti". Mohl by i presto Richard napsat vyhody a Dan nevyhody rozdeleni mail a relay serveru ? Honza From dan at obluda.cz Fri Apr 17 10:21:37 2009 From: dan at obluda.cz (Dan Lukes) Date: Fri, 17 Apr 2009 10:21:37 +0200 Subject: izolacia SMTP serverov [WAS: "Dva NATy" za jednim strojem] In-Reply-To: <00af01c9bf2d$3a7b4340$af71c9c0$@org> References: <49E0A25D.2060201@server.juhacr.net> <49E5EC98.9090000@quip.cz> <49E63E85.20607@quip.cz> <49E6D0BB.3060108@quip.cz> <49E826AF.1050704@obluda.cz> <00af01c9bf2d$3a7b4340$af71c9c0$@org> Message-ID: <49E83C11.5090103@obluda.cz> Du??tko Jan napsal/wrote, On 04/17/09 09:22: >> Richard Willmann napsal/wrote, On 04/17/09 01:18: >> > Vsimli ste si, ze velka vacsina poskytovatelov pripojenia alebo >> > webhostingu este stale nema oddeleny master od relay? >> ... >> > (mastrom myslim ten SMTP server, na ktory su smerovane MX zaznamy). >> >> > Pripomina mi to bordel, ktory aspon na SK ma este dost vela aj >> velkych >> > ISP s izolaciou DNS serverov (autority a caching only). > Mohl by i presto Richard napsat vyhody a Dan nevyhody rozdeleni mail a relay > serveru ? Nemyslim, ze "nevyhody" je spravne slovo. Jak bych spis popsal takhle: Dalsi server ? Ne bez dobreho duvodu! Mam-li spustit dalsi server ("oddeleny") pak je to dalsi konfigurace, dalsi prace navic, dalsi misto, kde lze udelat chybu, dalsi misto na ktere lze utocit. Pokud si tim vyresim nejaky problem (natolik nezanedbatelny, ze to za tuto cenu stoji) a pokud jsem se z moznych reseni rozhodl, ze optimalni je prave tohle, pak je to naprosto v poradku. Mozna jsem ale dany problem vyresil jinak. Nebo ho vubec nemam. Nebo sice dane riziko existuje, ale s ohledem na charakter site, uzivatelu a provozu je natolik male, nebo pripadne skody, kdyby nastalo, jsou natolik male, ze proste nema dobry smysl vytvorit (vetsi ?) riziko "dasiho serveru". Ja proste jen nesouhlasim s tim, ze poskytovatel pripojeni automaticky potrebuje oddelene SMTP servery (a kdo je nema je cune) stejne jako nesouhlasim, ze autoritativni DNS server a smart-resolver automaticky musi bezet oddelene, jinak se jedna o sit, ve ktere je bordel. Takhle jednoduche mi to proste nepripada. Dan From mk7ygre33apsq23c at foo.sk Sat Apr 18 03:12:33 2009 From: mk7ygre33apsq23c at foo.sk (Richard Willmann) Date: Sat, 18 Apr 2009 03:12:33 +0200 Subject: izolacia SMTP serverov [WAS: "Dva NATy" za jednim strojem] References: <49E0A25D.2060201@server.juhacr.net> <49E5EC98.9090000@quip.cz> <49E63E85.20607@quip.cz> <49E6D0BB.3060108@quip.cz> <49E826AF.1050704@obluda.cz> <00af01c9bf2d$3a7b4340$af71c9c0$@org> Message-ID: <4A3330CE4E25487DAB20206212E10867@rwillmannhome> >> Z technickeho hlediska nema oddeleni zadne zvlastni opodstatneni. Takze >> se patrne dostavame na pomerne zhave pole diskusi o "nejbezpecnejsi >> konfiguraci siti". > > Mohl by i presto Richard napsat vyhody a Dan nevyhody rozdeleni mail a > relay > serveru ? s Danom sa zhodneme na tom, ze nerozpravame o vyhodach alebo nevyhodach. Ja si myslim (a tu sa uz asi nezhodneme :), ze existuje dobra a zla (menej dobra) konfiguracia. Dovody, preco si myslim, ze izolacia je dobra, skusim vysletlit na dvoch prikladoch. Jeden bude o DNS a druhy o SMTP. Princip je ale v podstate rovnaky. Musim ale vopred doplnit, ze izolacia nie je vzdy potrebna, v mojom prispevku som hovoril o ISP. Predpokladajme, ze hovorime o firme poskytujucej internetove sluzby. ISP ma zakaznika, pre ktoreho prevadzkuje v ramci doplnkovych sluzieb sluzby elektronickej posty a s tym suvisiace sluzby prevadzky DNS pre domenu XYZ. Zakaznik sa ale jedneho dna zle zobudi a povie si, seriem na peniaze, beriem domenu inam a objedna si rovnake sluzby u ineho poskytovatela napriek tomu, ze ISP mu ich poskytuje bud zadarmo alebo ich ma este predplatene na dalsich par mesiacov. Zakaznik zaroven z nejakeho dovodu neciti potrebu o svojom rozhodnuti informovat stareho ISP. (pochadzam ciastocne z prostredia ISP, tento scerar je pomerne bezny) a) izolacia DNS Ak ISP nema oddeleny autoritativny a caching only name server, bude svojim zakaznikom - a to napriek zmenenej delegacii "o poschodie vyssie" poskytovat informacie zo svojej zony napriek tomu, ze by uz nemal. Dosledkom moze byt napriklad nedorucenie emailov. Zakaznik pouzije smart relay ISP, ten sa opyta svojho caching only name servera a ten mu vrati (pravdepodobne) nespravne MX zaznamy. Maily sa sice dorucia, ale prijemca ich nikdy nedostane, lebo domenu si uz prestahoval k inemu poskytovatelovi a nema dovod kontrolovat postu na mail servri stareho poskytovatela. Inak povedane, caching only name server ISP sa bude povazovat za autoritu pre danu domenu nezavisle od toho, kam je domena delegovana. b) izolacia SMTP Velmi podobna situacia moze nastat v pripade mailov. Opat predpokladajme, ze ISP ma jeden univerzalny mail server, ktory plni ulohu primary master a zaroven relay. Tento mail server je nakonfigurovany tak, ze maily pre domenu XYZ povazuje za "lokalne". Iny zakaznik ISP posle email prostrednictvom tohoto mail serveru a ten, namiesto toho, aby sa snazil emaily dorucit na vzdialeny mail server ich bud vrati alebo doruci do lokalnych mailboxov. Rovnako moze nastat taka situacia, ze primary master sice nieje pouzivany ako relay ale vykonava forwarding mailov vo vlastnej rezii namiesto toho, aby email dorucoval cez relay. Opat existuje riziko nespravneho dorucenia resp. nedorucenia emailu. V kazdom pripade postihnuty su obvykle zakaznici povodneho ISP a drzitel domeny. Za poslednych par rokov som riesil velmi vela problemov suvisiacich najma s nedorucovanim emailov pre nasich novych zakaznikov. Castou pricinou bolo absencia izolacie u povodneho poskytovatela. Niekto moze namietat, ze ISP v tom moze mat poriadok a domeny zo zon a z mail serverov poctivo vyraduje - avsak ak sa to ISP nedozvie, nema dovod na konfiguracii svojich strojov nic upravovat. Izolaciu je samozrejme mozne riesit na jednom stroji a kludne aj v ramci jedneho OS bez virtualizacie. Ja tak pomerne uspesne pouzivam viacero instalacii qmailu. Tesim sa uprimne na Danov resp. akykolvek iny nazor. pekny weekend rwi From dan at obluda.cz Sat Apr 18 08:52:52 2009 From: dan at obluda.cz (Dan Lukes) Date: Sat, 18 Apr 2009 08:52:52 +0200 Subject: izolacia SMTP serverov [WAS: "Dva NATy" za jednim strojem] In-Reply-To: <4A3330CE4E25487DAB20206212E10867@rwillmannhome> References: <49E0A25D.2060201@server.juhacr.net> <49E5EC98.9090000@quip.cz> <49E63E85.20607@quip.cz> <49E6D0BB.3060108@quip.cz> <49E826AF.1050704@obluda.cz> <00af01c9bf2d$3a7b4340$af71c9c0$@org> <4A3330CE4E25487DAB20206212E10867@rwillmannhome> Message-ID: <49E978C4.6080807@obluda.cz> Richard Willmann napsal/wrote, On 04/18/09 03:12: > Zakaznik sa ale jedneho dna zle zobudi > objedna si rovnake sluzby u ineho poskytovatela > neciti potrebu o svojom rozhodnuti informovat stareho ISP. > Ak ISP nema oddeleny autoritativny a caching only name server, bude > svojim zakaznikom - a to napriek zmenenej delegacii "o poschodie vyssie" > poskytovat informacie zo svojej zony napriek tomu, ze by uz nemal. Na overeni, jestli vsechny zony, pro ktere je muj konkretni DNS server serverem autoritativnim jsou na tento server take delegovany staci celkem jednoduchy script (jehoz srdcem bude dig +nssearch +aaonly ...). Takze jakepak "ISP nedozvi". Tak jako tak bych jednou za cas podobnou kontrolu provadel (i s oddelenymi servery preci nechci na tom autoritativnim mit desitky zon, ktere na nem nejsou delegovane). Doufam, ze neni nutne, abych pro SMTP argumentaci prakticky opakoval. Ten kontrolni script by byl, nakonec, velmi podobny. -------------------------- Tim ani nahodou nerikam, ze "reseni scriptem" je jedine spravne ci jedine mozne. Ja v zadnem pripade nepopiram, ze oddelene DNS a SMTP servery jsou moznym resenim konkretniho problemu. Jen rikam, ze a) nikoliv jedinym b) bez znalosti konkretni situace ani nelze rict, zda lepsim, tim spise nejlepsim A to vubec nezminuju variantu, ze by (treba maly, vesnicky) ISP sluzbu "provoz autoritativniho nameserveru" svym zakaznikum vubec nenabizel a jedine zony, ktere by na takovem serveru byly by byly jeho vlastni. Pripominam, ze na pocatku bylo velmi nekompromisni prohlaseni o tom, ze ISP, ktery nema oddelne servery ma v siti bordel. A ja tyhle "hony na carodejnice" zalozene na jednoduchych, prostemu davu snadno pochopitelnych heslech (i kdyz verim, ze Richard to takhle nemyslel) nemam moc rad. Dan From mk7ygre33apsq23c at foo.sk Sat Apr 18 23:30:57 2009 From: mk7ygre33apsq23c at foo.sk (Richard Willmann) Date: Sat, 18 Apr 2009 23:30:57 +0200 Subject: izolacia SMTP serverov [WAS: "Dva NATy" za jednim strojem] References: <49E0A25D.2060201@server.juhacr.net> <49E5EC98.9090000@quip.cz> <49E63E85.20607@quip.cz> <49E6D0BB.3060108@quip.cz> <49E826AF.1050704@obluda.cz> <00af01c9bf2d$3a7b4340$af71c9c0$@org><4A3330CE4E25487DAB20206212E10867@rwillmannhome> <49E978C4.6080807@obluda.cz> Message-ID: > Na overeni, jestli vsechny zony, pro ktere je muj konkretni DNS server > serverem autoritativnim jsou na tento server take delegovany staci celkem > jednoduchy script (jehoz srdcem bude dig +nssearch +aaonly ...). Takze > jakepak "ISP nedozvi". ano, toto je jedno z rieseni, ktore ma svoje "ale" (aspon z mojho pohladu aj ked opat, moze byt pre niekoho akceptovatelne): * nefunguje "automaticky" a "prirodzene" (ok, toto je taky poloargument), * moze vzniknut "zmluvny problem". Zakaznik ti "plati za sluzbu zverejnenia zony" a ty ju neposkytujes. > Tak jako tak bych jednou za cas podobnou kontrolu provadel (i s oddelenymi > servery preci nechci na tom autoritativnim mit desitky zon, ktere na nem > nejsou delegovane). my mame napriklad system nastaveny tak, ze kym zakaznik plati, zonu tam ma. Bez ohladu na to, ci deleguje tak ako ma alebo nie (tj ci pouziva alebo nie). Kontrolu delegacie vykonavame, ale jej vystupom je emailova notifikacia zakaznika o "moznom probleme". Toto riesenie sme zvolili po konzultacii s pravnikom a auditorom. > Doufam, ze neni nutne, abych pro SMTP argumentaci prakticky opakoval. Ten > kontrolni script by byl, nakonec, velmi podobny. ano, oba problemy su viac menej rovnake. > A to vubec nezminuju variantu, ze by (treba maly, vesnicky) ISP sluzbu > "provoz autoritativniho nameserveru" svym zakaznikum vubec nenabizel a > jedine zony, ktere by na takovem serveru byly by byly jeho vlastni. uprimne, neviem aka je situacia v CR ale uplnou nahodou som v utorok riesil podobny roblem s ISP s pomerne vyznamnym trhovym podielom na SK. Klasicky neodsranili zonu a cast emailov sa zazracne a nepredvidatelne stracala. V ociach zakaznika sme boli blbcami samozrejme v prvom momente my :) Toto je este k tomu tak nestastna vec, ktora sa velmi tazko vysvetluje laikom. A obcas sa tazko aj riesi ked na druhej strane - ISP - najdes namiesto cloveka hlupaka, ktory sa ani nesnazi porozumiet. > Pripominam, ze na pocatku bylo velmi nekompromisni prohlaseni o tom, ze > ISP, ktery nema oddelne servery ma v siti bordel. velmi sa mi paci tvoj postoj odmietajuci ciernobiele nazory na tuto ale aj ine temy, avsak ked mam povedat zo svojich praktickych skusenosti, obvykle to tak naozaj je... :) > A ja tyhle "hony na carodejnice" zalozene na jednoduchych, prostemu davu > snadno pochopitelnych heslech (i kdyz verim, ze Richard to takhle > nemyslel) nemam moc rad. S odmietanim ciernobieleho pohladu suhlasim ale v niektorych nazoroch som zasadovejsi. Tu je to naozaj o skusenostiach z praxe. Viem, ze problem sa da vyriesit viacerymi sposobmi. Mne sa vsak zda riesenie zalozene na izolacii najcistejsie. To je ale vec pohladu. Ked sme uz pri prikladoch z praxe. Len na pobavenie pritomnych... Jeden (nie najmensi) zo slovenskych webhosterov zvysuje dva mesiace pred expiraciou domeny TTL na zaznamoch na 2 tyzdne... Velka cast ludi meni poskytovatela prave pri maturite domeny :) rwi From hrabec at naxo.net Mon Apr 20 10:28:22 2009 From: hrabec at naxo.net (Josef Hrabec) Date: Mon, 20 Apr 2009 10:28:22 +0200 (CEST) Subject: IPSEC - prechod z ISA serveru Message-ID: <60762.172.20.8.10.1240216102.squirrel@email.naxo.net> Ahoj, chteli bychom v praci zrusit Windows ISA server, ktery slouzi pro VPN pripojeni postavene na IPSEC a nahradit jej strojem s FreeBSD. Ackoliv se mi pravdepodobne podarilo uspesne projit prvni a druhou fazi vymeny klicu a tunel tak dostat do stavu established, nedari se mi skrz nej procpat zadny paket. Pri spusteni racoon-u lze pozorovat, jak z pocatku "nedela nic" a teprve ve chvili, kdy se ze stroje za timto routerem posle echo paket na druhou stranu zacne na externim rozhrani provoz nejprve ike paketu, ktere posleze nahradi provoz jiz pouze esp paketu. Ruku v ruce s tim, se take zacne plnit log daemonu racoon. Coz by snad melo byt v poradku. Sit, za routerem i nakonci tunelu je vytvorena z verenych IP. Pri testovani ruznych variant konfigurace jsem vytusil, ze ISA bude pravdepodobne jako indentifikator v tunelu pouzivat svou interni IP. Mozna to je proto, protoze interni subnet je definovan z pohledu toho Win ISA serveru jako tzv. perimetr - coz je podle vseho v reci microsoftu subnet ktery je povazovan za DMZ. Jadro FreeBSD mam skompilovano s temito parametry: options IPSEC options IPSEC_DEBUG device crypto nasledne jsem zkusil do jadra pridal take: options IPSEC_FILTERTUNNEL Dale jsem zkusil do jadra pridat podporu enc: device enc Ale kdyz na vzniklem interface enc0 spustim tcpdump, tak se zadne pakety nezobrazi. Routovani je funkcni, z klienta se lze dostat na libovolny jiny pocitac na internetu. Firewall je spusten jako open bez dalsich uprav. Pouzivam FreeBSD 7.1 release Dekuji predem za jakykoliv postreh nebo radu, jak toto sprovoznit, Pepa. Log daemonu racoon: http://touch.hrabec.org/isa/racoon.log.txt vypis setkey -D http://touch.hrabec.org/isa/setkey.d.txt vypis setkey -PD http://touch.hrabec.org/isa/setkey.pd.txt nastaveni ISA serveru pro phase 1: http://touch.hrabec.org/isa/phase1.jpg nastaveni ISA serveru pro phase 2: http://touch.hrabec.org/isa/phase2.jpg nastaveni connection na ISA serveru: http://touch.hrabec.org/isa/connection.jpg konfiguracni soubor racoon.conf: http://touch.hrabec.org/isa/racoon.conf.txt topologie: http://touch.hrabec.org/isa/topology.txt From dan at obluda.cz Mon Apr 20 12:31:00 2009 From: dan at obluda.cz (Dan Lukes) Date: Mon, 20 Apr 2009 12:31:00 +0200 Subject: IPSEC - prechod z ISA serveru In-Reply-To: <60762.172.20.8.10.1240216102.squirrel@email.naxo.net> References: <60762.172.20.8.10.1240216102.squirrel@email.naxo.net> Message-ID: <49EC4EE4.40204@obluda.cz> On 20.4.2009 10:28, Josef Hrabec: > Pri spusteni racoon-u lze pozorovat, jak z pocatku "nedela nic" a teprve ve > chvili, kdy se ze stroje za timto routerem posle echo paket na druhou stranu > zacne na externim rozhrani provoz nejprve ike paketu, ktere posleze nahradi > provoz jiz pouze esp paketu. To je skutecne v poradku. IPSEC je "connection-less" tunel. Neni zadne "sestavovani tunelu". Bylo by to dobre videt pri staticke konfiguraci klicu an obou stranach - kazdemu "protlacovanemu" paketu by odpovidal 1:1 jeden ESP paket - zadne sluzebni pakety. Pokud klice staticky nakonfigurovane nejsou, funguje to takto: Kdyz ma IPSEC odeslat paket tunelem a nema aktualn eplatn eklice, tak si o ne rekne nekomu. Ten "nekomu" je v tomto pripade IKE - a je to on, kdo zahaji (na celem IPSECu zcela nezavislou) komunikaci s nekym, s kym se nejak dohodnou a vysledkem jsou klice, ktere on IPSECu dolu poda. Takze dokud se neposila zadny paket tak IPSEC nepotrebuje klice a kdyz nepotrebuje klice, tak si o ne nerekne, a kdyz si o ne nerekne, tak IKE zadne neshani. Tolik vysvetleni, proc se neco zacne dit az kdyz posles ping/echo. Skoda jen, ze nerikas, jestli ten ping taky dopadne uspesne prijatou odpovedi. A celkove mi nejak uniklo, co presne ti vlastne nefunguje (pokud ten ping prochazi). > Dale jsem zkusil do jadra pridat podporu enc: > device enc Abych rekl pravdu, IPSECu jsem nikdy neprisel moc na chut' mj. prave proto, ze na jednu stranu sice chova jako tunel (tedy, v konfiguraci "bud' tunel"), ale z pohledu OS neni konec tunelou obvyklym interface. Misto toho IPSEC pakety "krade" pri jejich zpracovani v jadre. Coz podstatne komplikuje sledovani "co se deje". "enc" z meho pohledu prisel jednak pozde, jednak ej jen takovou divnou naplasti - neni to endpoint konkretniho tunelu, je to spis servisni pseudointerface, kde maji byt zamichane vsechny IPSEC pakety dohromady. A i kdybych vzal "enc" na milost, stejne to neresi jiny problem - tim, ze IPSEC-tunel neni normalni (byt' virtualni) spoj, nelze do nej smerovat [pakety pomoci zaznamu v routovaci tabulce - a co je maly problem u statickych zaznamu (ty proste staticky zapisu jinam, do konfigurace toho IPSEC tunelu), to je velky problem v pripade dynamickych routovacich daemonu, ktere mi na nejake IPSEC kaslou a routovat do jednotlivych IPSEC tunelu takhle nejde. Takze, kdyz uz jsem nahodou nekde donucen IPSEC pouzivat (jako, ze se tomu vyhybam) tak zasadne v konfiguraci IP over IP-IP (tj. GIF) over IPSEC/ESP Je to sice tunel v tunelu, ztracene ctyri byte navic, ale ladeni potizi je radove snazsi. Samozrejme, na druhe strane musi byt odpovidajici konfigurace, takze jestli ty mas na druhe strane Woknows, tak smula ... Kazdopadne, budes muset rict, co ti teda vlastne nefunguje jinak rozumne postrceni necekej ;-) Dan From mk7ygre33apsq23c at foo.sk Mon Apr 20 13:00:16 2009 From: mk7ygre33apsq23c at foo.sk (Richard Willmann) Date: Mon, 20 Apr 2009 13:00:16 +0200 Subject: IPSEC - prechod z ISA serveru References: <60762.172.20.8.10.1240216102.squirrel@email.naxo.net> <49EC4EE4.40204@obluda.cz> Message-ID: > To je skutecne v poradku. IPSEC je "connection-less" tunel. Neni zadne > "sestavovani tunelu". Bylo by to dobre videt pri staticke konfiguraci > klicu an obou stranach - kazdemu "protlacovanemu" paketu by odpovidal 1:1 > jeden ESP paket - zadne sluzebni pakety. snad len dodam, ze niektore implementacie - najma tie, skatulove - poznaju volbu "nailed up". Ako tato feature funguje vnutri presne neviem, ale ma to vyznam najma vtedy, ked druha strana ma dynamicku IP adresu a je potrebne docielit, aby bol tunel up vzdy ked je online. Typicky napr. pobocka pripojena via DSL s dynamickou IP vo vnutri ktorej su IP telefony. Na OpenBSD som to riesil pingom na pozadi. > Takze, kdyz uz jsem nahodou nekde donucen IPSEC pouzivat (jako, ze se tomu > vyhybam) tak zasadne v konfiguraci IP over IP-IP (tj. GIF) over IPSEC/ESP Na IPSec je krasne najma to, ze ti necha "normalne" MTU. d~ rwi From hrabec at naxo.net Mon Apr 20 13:19:01 2009 From: hrabec at naxo.net (Josef Hrabec) Date: Mon, 20 Apr 2009 13:19:01 +0200 (CEST) Subject: IPSEC - prechod z ISA serveru Message-ID: <53329.172.20.8.10.1240226341.squirrel@email.naxo.net> > Skoda jen, ze nerikas, jestli ten ping taky dopadne uspesne prijatou > odpovedi. > A celkove mi nejak uniklo, co presne ti vlastne nefunguje (pokud ten > ping prochazi). Omlouvam se, situace se ma tak. Z klienta odchazi echo paket, tento paket je videt na internim interface routeru spravne jako prichozi. Na enc0 neni videt zadny paket. Na externim interface jsou videt esp pakety jak chodi sem a tam, tedy mezi externim interface FreeBSD a tim druhym vzdalenym koncem. Ale na internim interface se jiz odpoved na vysilane echo pakety neobjevi. Stejne tak, vysilane echo pakety na externim rozhrani videt nejsou, co znamena ze bud se jim podari nejak dostat do toho tunelu, nebo ze se ztrati jeste nekde na BSD routeru. Nic mene zpet ke klientovi se nevrati vubec zadny paket, tedy ani hlaseni o chybe. > Abych rekl pravdu, IPSECu jsem nikdy neprisel moc na chut' Ano, to ja take ne, ale problem je v tom, ze druha strana lezi v zahranici a ja nemam moznost na druhe strane postavit tunel jinak. :-\ Druha strana je pro mne blackbox, nevim co tam maji za zarizeni. Informace ktere mam k dispozici je stavajici funkcni nastaveni na tom ISA serveru, ktery se pokousim nahradit. > a co je maly problem u statickych zaznamu > (ty proste staticky zapisu jinam, do konfigurace toho IPSEC tunelu), to > je velky problem v pripade dynamickych routovacich daemonu, ktere mi na > nejake IPSEC kaslou a routovat do jednotlivych IPSEC tunelu takhle nejde. V mem pripade staci routovat staticky. Site na druhem konci tunelu znam (dohromady je tam cca 20 ruznych rozsahu). A mozna ze problem bude prave v routovani - mohu se prosim zeptat jake staticke konfigurace pro routovani do IPSEC tunelu mas na mysli? Jak je vyrobit? Treba mi chybi prave tohle... > Takze, kdyz uz jsem nahodou nekde donucen IPSEC pouzivat (jako, ze se > tomu vyhybam) tak zasadne v konfiguraci IP over IP-IP (tj. GIF) over > IPSEC/ESP GIF by byl urcite lepsi, ale protoze neznam IP adresy interniho rozhrani toho blackboxu na druhe strane a v konfiguraci stavajiciho ISA serveru nikde tyto IP napsany nejsou vyplyvami z toho, ze GIF pouzit nemuzu. (ty zpropadene windows to zda se interne resi bez pouziti neceho podobneho jako je GIF) Jeste jednou diky, Pepa. From dan at obluda.cz Mon Apr 20 13:34:00 2009 From: dan at obluda.cz (Dan Lukes) Date: Mon, 20 Apr 2009 13:34:00 +0200 Subject: IPSEC - prechod z ISA serveru In-Reply-To: References: <60762.172.20.8.10.1240216102.squirrel@email.naxo.net> <49EC4EE4.40204@obluda.cz> Message-ID: <49EC5DA8.8060707@obluda.cz> On 20.4.2009 13:00, Richard Willmann: >> Takze, kdyz uz jsem nahodou nekde donucen IPSEC pouzivat (jako, ze se >> tomu vyhybam) tak zasadne v konfiguraci IP over IP-IP (tj. GIF) over >> IPSEC/ESP > > Na IPSec je krasne najma to, ze ti necha "normalne" MTU. Myslis 576 byte ? Stejne vetsinou pouzivam vic. Nebo jsi ethernet-centric uzivatel a za "normalni" povazujes pouze 1514 ? ;-) Abych rekl pravdu, zrovna me nenapada zadnej zasadni duvod, proc by na presne konkretni hodnote MTU melo zalezet. Zejmena pokud pres tunel tahame TCP, ktere ma PMTU. Cimz nevylucuju, ze to v nejakych konkretnich pripadech zasadni problem je. Dan From mk7ygre33apsq23c at foo.sk Mon Apr 20 13:59:27 2009 From: mk7ygre33apsq23c at foo.sk (Richard Willmann) Date: Mon, 20 Apr 2009 13:59:27 +0200 Subject: IPSEC - prechod z ISA serveru References: <60762.172.20.8.10.1240216102.squirrel@email.naxo.net> <49EC4EE4.40204@obluda.cz> <49EC5DA8.8060707@obluda.cz> Message-ID: > Myslis 576 byte ? Stejne vetsinou pouzivam vic. Nebo jsi ethernet-centric > uzivatel a za "normalni" povazujes pouze 1514 ? ;-) > > Abych rekl pravdu, zrovna me nenapada zadnej zasadni duvod, proc by na > presne konkretni hodnote MTU melo zalezet. Zejmena pokud pres tunel tahame > TCP, ktere ma PMTU. Cimz nevylucuju, ze to v nejakych konkretnich > pripadech zasadni problem je. PMTU je super, ale iba ak funguje. Ale nechcem generalizovat :) K enc iface. Je pravda, ze ked som s IPSec este na OpenBSD zacinal, tiez som si myslel, ze co tunel to virtualny iface a chvilu mi trvalo kym som sa naucil pouzivat enc. Je to skaredy hack. btw: nevies ako funguje na linkach s nizkym MTU DNS? RFC hovori, ze pakety by nemali byt vacsie nez ... resp. existuje podmienka na implementacie, ze prijimatel musi prijat paket nejakej minimalnej dlzky, cislo si nespomeniem, (576 bajtov ?) ale je pomerne nizke a v praxi su tie pakety urcite vacsie. rwi From dan at obluda.cz Mon Apr 20 14:39:06 2009 From: dan at obluda.cz (Dan Lukes) Date: Mon, 20 Apr 2009 14:39:06 +0200 Subject: IPSEC - prechod z ISA serveru In-Reply-To: References: <60762.172.20.8.10.1240216102.squirrel@email.naxo.net> <49EC4EE4.40204@obluda.cz> <49EC5DA8.8060707@obluda.cz> Message-ID: <49EC6CEA.2030201@obluda.cz> Richard Willmann napsal/wrote, On 04/20/09 13:59: > btw: nevies ako funguje na linkach s nizkym MTU DNS? RFC hovori, ze > pakety by nemali byt vacsie nez ... resp. existuje podmienka na > implementacie, ze prijimatel musi prijat paket nejakej minimalnej dlzky, > cislo si nespomeniem, (576 bajtov ?) ale je pomerne nizke a v praxi su > tie pakety urcite vacsie. Ne, to urcite nejsou, maximalni dovolena velikost DNS UDP paketu je 512B coz je s rezervou min nez nejmensi povolena MTU (576B). Takze DNS paket a MTU se nikdy nemohou potkat. Vetsi DNS paket muzes potkat bud' pri pouziti TCP a nebo pokud se klient a server shodli na EDNS0 rozsireni (RFC2671). Ale nezda se mi, ze by prilis vyznamne mnozstvi realneho provozu tohle rozsireni pouzivalo. A navzdory tomu se mi nezda, ze by nejaka vetsi cast DNS provozu probihala pres TCP - takze ja bych nerekl, ze tech 512 v praxi nejak bezne nestaci ... Dan From hrabec at naxo.net Mon Apr 20 14:44:15 2009 From: hrabec at naxo.net (Josef Hrabec) Date: Mon, 20 Apr 2009 14:44:15 +0200 (CEST) Subject: IPSEC - prechod z ISA serveru Message-ID: <61225.172.20.8.10.1240231455.squirrel@email.naxo.net> > K enc iface. Je pravda, ze ked som s IPSec este na OpenBSD zacinal, tiez > som > si myslel, ze co tunel to virtualny iface a chvilu mi trvalo kym som sa > naucil pouzivat enc. Je to skaredy hack. > Mohl bych poprosit o strucny popis jak s tim enc pracovat? Proste spusteni tcpdump -ni enc0 v mem pripade zadne pakety nevypisuje. Tcpdump si pri spusteni postezuje, ze dany adapter nema pridelenou zadnou IP... nic mene ale dale to vypada, jako by na enc0 poslouchal. Nic mene pocet zachycenych paketu je vzdy nulovy. Je nutne, aby enc0 nejakou IP mel?... Diky, Pepa. From mk7ygre33apsq23c at foo.sk Mon Apr 20 15:13:55 2009 From: mk7ygre33apsq23c at foo.sk (Richard Willmann) Date: Mon, 20 Apr 2009 15:13:55 +0200 Subject: IPSEC - prechod z ISA serveru References: <61225.172.20.8.10.1240231455.squirrel@email.naxo.net> Message-ID: <3EC5C1D7EF214788B901E79A2F3A9D22@rwillmannhome> > Mohl bych poprosit o strucny popis jak s tim enc pracovat? Proste spusteni > tcpdump -ni enc0 v mem pripade zadne pakety nevypisuje. Tcpdump si pri > spusteni postezuje, ze dany adapter nema pridelenou zadnou IP... nic mene > ale dale to vypada, jako by na enc0 poslouchal. Nic mene pocet zachycenych > paketu je vzdy nulovy. Je nutne, aby enc0 nejakou IP mel?... skus ifconfig enc0 up podobny problem som mal na OpenBSD ked som mal vlan rozhrania naviazane na napr. rl0 a ten nebol up. Nemusi mat IP adresu, staci aby bol up. d~ rwi From dan at obluda.cz Mon Apr 20 22:54:28 2009 From: dan at obluda.cz (Dan Lukes) Date: Mon, 20 Apr 2009 22:54:28 +0200 Subject: IPSEC - prechod z ISA serveru In-Reply-To: <53329.172.20.8.10.1240226341.squirrel@email.naxo.net> References: <53329.172.20.8.10.1240226341.squirrel@email.naxo.net> Message-ID: <49ECE104.2080900@obluda.cz> Josef Hrabec napsal/wrote, On 04/20/09 13:19: >> A celkove mi nejak uniklo, co presne ti vlastne nefunguje (pokud ten >> ping prochazi). > Z klienta odchazi echo paket, tento paket je videt na internim interface routeru spravne jako prichozi. Na enc0 neni > videt zadny paket. Na externim interface jsou videt esp pakety jak chodi > sem a tam, tedy mezi externim interface FreeBSD a tim druhym vzdalenym > koncem. Ale na internim interface se jiz odpoved na vysilane echo pakety > neobjevi. Takze - kyvadlove ESP pakety naznacuji, ze ping na druhou stranu dojde, je spravne pochopen a vyvola odpoved, ktera prijde. To znamena, ze v jednom smeru to je plne funkcni. Problem je s tim druhym smerem - ESP paket, ktery dorazi neni spravne interpretovan. Takze bud' ho zablokuje firewall jeste jako ESP paket. Nebo se ho nepodari desifrovat. Nebo se ho podari desifrovat, ale vysledny paket neco sezere (firewall). Nebo ho to nesezere, ale vybaleny paket neni dorucitelny (treba nema spravnou adresu prijemce). To, ze nam ani ESP paket ani desifrovany paket nezablokuje firewall vyresis jednoduse - zadny tam po dobu pokusu mit aktivni nebudes. Ja ted zrovna nikde IPSEC nemam (teda, skoro jiste nekde na nejakem stroji, kde jsem to nekdy konfiguroval a stale tam mam prava bude, ale zadny se mi nevybavuje) takze musim varit trochu z vody. Prichozi paket se k IPSEC pravidlum prirazuje pomoci SPI. Takze je treba proverit, jestli navracejici se ESP paket ma "spravne" SPI - tedy totez, ktere ma odpovidajici SPD zaznam. Pokud ne, zname potiz. Pokud ano, mel by takovy paket smerovat k desifrovani. POkud si pamatuju dobre, tak v SAD se eviduje kolik byte bylo danym klicem zasifrovano/desifrovano (tedy doufam, ze se tam nascitavaji obe operace). Pokud se to cislo po prichodu paketu zvysi, pak by mel byt spravne desifrovan. Pokud se nam ztraci az ten, melo by se to projevit nekde v netstat statistikach ... Co se tyce enc0, naprosto nikdy jsem ho nepouzil. Ale rada, co tu padla, ze na dumpovani musi byt "up" zni pravdepodobne. Pak by mohly dalsi uzitecne informace vypadnout z nej. > jake staticke konfigurace pro routovani do IPSEC tunelu mas na mysli? Jak je vyrobit? > Treba mi chybi prave tohle... V pripade IPSECu zadne routovani neexistuje. Ale to predbihame. Nekomplikujme si zivot, dokud na to neni spravny cas. Nejprve je treba rozfungovat komunikaci mezi obema stroji na koncich toho tunelu. Teprve az budes mit tohle, muzeme zacit resit takove veci jako je komunikace jinych stroju pres ten tunel. Dan From hrabec at naxo.net Tue Apr 21 10:55:51 2009 From: hrabec at naxo.net (Josef Hrabec) Date: Tue, 21 Apr 2009 10:55:51 +0200 (CEST) Subject: IPSEC - prechod z ISA serveru Message-ID: <53122.172.20.8.10.1240304151.squirrel@email.naxo.net> > Takze - kyvadlove ESP pakety naznacuji, ze ping na druhou stranu dojde, > je spravne pochopen a vyvola odpoved, ktera prijde. Tak, ted si musim nasypat popel na hlavu, to interface enc0 opravdu nebylo up. Kdyz jsem jej dal up tak uz je na nem videt komunikace, ktera vysvetluje ony kyvadlove esp pakety. Odchozi pakety jsou moje ping-y a prichozi jsou nejake jine pakety od serveru z druhe strany, ktere nejsou urceny pro me. Tedy, tcpdump -ni enc0 vidi: echo ode mne na druhou stranu 06:38:04.163836 (authentic,confidential): SPI 0x1516a724: IP A.A.A.A > B.B.B.B: ICMP echo request, id 512, seq 15618, length 40 kde A.A.A.A je muj klient a B.B.B.B je server na druhe strane tunelu dale vidi moje echo vlozne do tunelu: 06:38:04.163843 (authentic,confidential): SPI 0x1516a724: IP C.C.C.C > D.D.D.D: IP A.A.A.A > B.B.B.B: ICMP echo request, id 512, seq 15618, length 40 (ipip-proto-4) kde C.C.C.C je zacatek tunelu na me strane (externi IP routeru) a D.D.D.D je konec tunelu na druhe strane (externi IP blackboxu) ale uz neni videt odpoved, pouze vidim jak z tunelu na mou stranu vypadavaji pakety: 06:38:04.278451 (authentic,confidential): SPI 0x0cc97139: IP D.D.D.D > C.C.C.C: IP E.E.E.E.2512 > F.F.F.F.1352: S 3040121534:3040121534(0) win 65535 (ipip-proto-4) kde E.E.E.E je jiny server na vzdalene strane tunelu a F.F.F.F je klient v mem rozsahu, ktery v okamzik kdy provadim test neni na sit pripojen druhy paket pro E.E.E.E > F.F.F.F uz videt neni, coz ale muze byt zpusobeno tim, ze F.F.F.F v dany okamzik nekomunikuje, BSD router jej ARP dotazem nemuze nalezt (zitra rano jej zkusim zapojit do testu take) > Takze je treba proverit, > jestli navracejici se ESP paket ma "spravne" SPI - tedy totez, ktere ma > odpovidajici SPD zaznam. Pokud ne, zname potiz. Pokud ano, mel by takovy > paket smerovat k desifrovani. POkud si pamatuju dobre, tak v SAD se > eviduje kolik byte bylo danym klicem zasifrovano/desifrovano (tedy > doufam, ze se tam nascitavaji obe operace). Pokud se to cislo po > prichodu paketu zvysi, pak by mel byt spravne desifrovan. Pokud se nam > ztraci az ten, melo by se to projevit nekde v netstat statistikach ... Diky za typ se SPI, rano jsem si sice neuschoval aktualni setkey -D, ale zitra to provedu znova i s uschovanim aktualniho vypisu SAD. Nic mene, ale kdyz vidim jak mi z tunelu vyleti paket ktery je smerovan ze vzdalene strany ma mou stranu a vidim zdrojove i cilove IP vcetne portu, pak tusim ze desifrovani probehlo v poradku. Myslis, ze je mozne, ze v pripade kdy vidim sve pakety vstupovat do tunelu a cizi pakety z nej vystupovat, ale nevidim z tunelu vystupovat zadne pakety ktere by byly odpovedi na ty me, ze vzdalena strana nerozumi? Ze by desifrovani na druhe strane koncilo neuspechem? Myslel jsem, ze kdyz je tunel navazan a pakety lze tunelem poslat jednim smerem, ze by to melo jit zaroven i smerem opacnym... coz vypada, ze ale asi nejde. (vratim-li konfiguraci zpet na server s Windows, pak se na druhou stranu pingnout lze, takze cil na druhe strane mi mezitim neumrel :) > V pripade IPSECu zadne routovani neexistuje. Ale to predbihame. > Nekomplikujme si zivot, dokud na to neni spravny cas. Nejprve je treba > rozfungovat komunikaci mezi obema stroji na koncich toho tunelu. Teprve > az budes mit tohle, muzeme zacit resit takove veci jako je komunikace > jinych stroju pres ten tunel. > Anebo mozna bude problem lezet prave nekde v komunikaci jinych stroju. Diky za pomoc, Pepa. From dan at obluda.cz Tue Apr 21 15:12:04 2009 From: dan at obluda.cz (Dan Lukes) Date: Tue, 21 Apr 2009 15:12:04 +0200 Subject: IPSEC - prechod z ISA serveru In-Reply-To: <53122.172.20.8.10.1240304151.squirrel@email.naxo.net> References: <53122.172.20.8.10.1240304151.squirrel@email.naxo.net> Message-ID: <49EDC624.7040009@obluda.cz> Josef Hrabec wrote: >> Takze - kyvadlove ESP pakety naznacuji, ze ping na druhou stranu dojde, >> je spravne pochopen a vyvola odpoved, ktera prijde. > > Tak, ted si musim nasypat popel na hlavu, to interface enc0 opravdu nebylo > up. To nic. To se mi bezne stava u "nadrizeneho" interfacu v pripade VLANu taky. Prestoze vim, ze musi byt UP ;-) > Odchozi pakety jsou moje ping-y a prichozi jsou nejake jine pakety od serveru z druhe strany Tak to je spatny, protoze to znamena, ze muj predpoklad o obousmerne komunikaci neni splneny. > echo ode mne na druhou stranu ... > dale vidi moje echo vlozne do tunelu: ... > ale uz neni videt odpoved To je spatny. To muze znamenat prilis mnoho veci - ale prvni je, ze paket je pro druhou nedesifrovatelny. Treba je zasifrovan nespravnym klicem. Nebo je pozit jiny sifrovaci algoritmus. Nebo je nekonzistentne pouzit jiny argument (digest, PFS). A je takrka nemozne odhadnout z nasi strany co je problem. Paket proste neni pro protistranu dostatecne spravny. A nebo spravny je - ale po desifrovani nevyhovi mistnimu firewallu nebo necemu jinemu a sezere ho ten. , pouze vidim jak z tunelu na mou stranu > vypadavaji pakety: > 06:38:04.278451 (authentic,confidential): SPI 0x0cc97139: IP D.D.D.D > > C.C.C.C: IP E.E.E.E.2512 > F.F.F.F.1352: S 3040121534:3040121534(0) win > 65535 (ipip-proto-4) > kde E.E.E.E je jiny server na vzdalene strane tunelu a F.F.F.F je klient v > mem rozsahu, ktery v okamzik kdy provadim test neni na sit pripojen > > druhy paket pro E.E.E.E > F.F.F.F uz videt neni, coz ale muze byt > zpusobeno tim, ze F.F.F.F v dany okamzik nekomunikuje Pak by melo zpatky jit prinejmensim ICMP unreachable. Ale i tak vidime, ze alespon tunel k tobe je ustaven korektne. Coz je pro tuto stranu dobra zprava, ale pro komunikaci v druhem smeru to nerika celkem nic moc, protoze ty pultunely jsou v podstate nezavisle. I kdyz, zase je divne, ze by se v jednom smeru dohodly klice dobre a v druhem spatne. >> jestli navracejici se ESP paket ma "spravne" SPI - tedy totez, ktere ma >> odpovidajici SPD zaznam. > Diky za typ se SPI, rano jsem si sice neuschoval aktualni setkey -D, ale > zitra to provedu znova i s uschovanim aktualniho vypisu SAD. Nic mene, ale > kdyz vidim jak mi z tunelu vyleti paket ktery je smerovan ze vzdalene > strany ma mou stranu a vidim zdrojove i cilove IP vcetne portu, pak tusim > ze desifrovani probehlo v poradku. Ano, to je zrejme. > Myslis, ze je mozne, ze v pripade kdy vidim sve pakety vstupovat do tunelu > a cizi pakety z nej vystupovat, ale nevidim z tunelu vystupovat zadne > pakety ktere by byly odpovedi na ty me, ze vzdalena strana nerozumi? Ze by > desifrovani na druhe strane koncilo neuspechem? Jak vyse receno, presne to je jedna az moznosti. Parametry v obou smerech jsou v podstate nezavisle - a nejen hesla, ale i algoritmy. Na druhou stranu, neni obvykle, aby se pro kazdy ze smeru dohadovaly ruzne (krome hesel). Ale mohlo by se stat, ze nejakou chybou v implementaci IKE dojde ke "skryte nedohode" - to jest - strany si mysli, ze se dohodly, ale ve skutecnosti nemaji parametry uplne shodne. Ale protoze n kazde stran eje implementace ruzna, muze se stat, ze v jednom smeru domluveni jsou tak, ze si rozumi a v druhem si to jen mysli, ale nejsou. Ja nerikam, ze to tak je - jen, ze to tak byt muze. > Anebo mozna bude problem lezet prave nekde v komunikaci jinych stroju. To mozna jo. Ale tim se opravdu nema smysl zabyvat, dokud nam nebudou navzajem komunikovat oba endpointy spolu. Krome varianty "explicitne zakazano firewallem" je prakticky vylouceno, abychom uspesne rozchodili komunikaci ne-koncovych stroju aniz by nam fungovala komunikace tech koncovych. Pokud by byli na druhem konci ochotni spolupracovat alespon minimalne, at dodaji LOG. Podle meho vlastniho zkoumani (ten disassembler se nekdy opravdu hodi, protoze dokumentace stoji za kocku a co clovek nevylame z DLL to nema) potrebny LOG na strane Woken ziskaji zapnutim: [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PolicyAgent\Oakley] "EnableLogging"=dword:00000001 "Debug"=dword:000000ff Alespon na W2k to tak chodilo (ten muj navod je uz sedm let stary) log se vytvari v %SystemRoot%\debug\oakley.log - ale format neni nikde popsany, takze je nutna intuice a znalost ISAKMP protokolu. Bylo by rozhodne pekne mit moznost porovnat tvuj a jejich vysleek IKE. Muzu se ti s tim pokusit nejak pomoct, ale pripadne delsi LOGy, a zejmen alogy z Woken asi spis nepatri do teto konference, takze kdyztak mimo. Az/pokud na neco prijdeme, muzeme sem dat vedet vysledek. Ovsem, pokud nelze z druhe strany vylamat zadnou, ani minimalni, spolupraci, tak to muze byt dost tezke ... Dan From jaroslav.votruba at keytec.cz Wed Apr 22 13:51:46 2009 From: jaroslav.votruba at keytec.cz (Jaroslav Votruba) Date: Wed, 22 Apr 2009 13:51:46 +0200 Subject: jak nejlepe na praci s casem Message-ID: <49EF04D2.5030509@keytec.cz> cas od casu potrebuji zjitit, ktery datum pripada na jakej den, pripadne rozdil mezi 2mi daty. Prikazem date mi to jednoduse nejde (nebo to spis neumim), tak?e na to vyuzivam mysql, ale muj postup mi prijde trochu (vic) neohrabanej. Jdu na to tak, ze si prikazy vlozim do souboru a ten pak podstrcim mysql ke zpracovan? a vysledek vkladam zpet do souboru. mysql -uroot -pheslo < prikazy.sql > vystup.txt kde prikazy jsou napr SELECT DATEDIFF('2009-03-09', '2011-03-09'); select dayname('2020-12-24'); jde to nejak inteligentnejc pomoci neceho jineho, pripadne jak to udelat lepe, abych se vyhnul pouziti souboru, tj prikaz i vysledek abych zadal a dostal z prikazove radky Jarda From jaroslav.votruba at keytec.cz Wed Apr 22 13:56:03 2009 From: jaroslav.votruba at keytec.cz (Jaroslav Votruba) Date: Wed, 22 Apr 2009 13:56:03 +0200 Subject: jak nejlepe na praci s casem In-Reply-To: <49EF04D2.5030509@keytec.cz> References: <49EF04D2.5030509@keytec.cz> Message-ID: <49EF05D3.3030004@keytec.cz> > abych se vyhnul pouziti souboru, tj prikaz i vysledek abych zadal a > dostal z prikazove radky > Jarda > tim jsem nemyslel , ze se prihlasim do mysql a prikaz zadam primo v ni Jarda From indigo at eiecon.net Wed Apr 22 14:00:20 2009 From: indigo at eiecon.net (Indigo) Date: Wed, 22 Apr 2009 14:00:20 +0200 Subject: jak nejlepe na praci s casem In-Reply-To: <49EF04D2.5030509@keytec.cz> References: <49EF04D2.5030509@keytec.cz> Message-ID: Ahoj, jednak bych doporucil drobnou optimalizaci: vystup=`mysql -uroot -pheslo < EOF SELECT DATEDIFF('2009-03-09', '2011-03-09'); EOF` druhak bych doporucil pouzivat nejaky skriptovaci jazyk se solidni knihovnou casovych funkci. Takze perl nebo trebas ruby. V. On Wed, 22 Apr 2009 13:51:46 +0200, Jaroslav Votruba wrote: > cas od casu potrebuji zjitit, ktery datum pripada na jakej den, pripadne > rozdil mezi 2mi daty. Prikazem date mi to jednoduse nejde (nebo to spis > neumim), tak?e na to vyuzivam mysql, ale muj postup mi prijde trochu > (vic) neohrabanej. Jdu na to tak, ze si prikazy vlozim do souboru a ten > pak podstrcim mysql ke zpracovan? a vysledek vkladam zpet do souboru. > mysql -uroot -pheslo < prikazy.sql > vystup.txt > > kde prikazy jsou napr > SELECT DATEDIFF('2009-03-09', '2011-03-09'); > select dayname('2020-12-24'); > > jde to nejak inteligentnejc pomoci neceho jineho, pripadne jak to udelat > lepe, abych se vyhnul pouziti souboru, tj prikaz i vysledek abych zadal > a dostal z prikazove radky > Jarda From jf at devnull.cz Wed Apr 22 14:15:41 2009 From: jf at devnull.cz (Jan Friedel) Date: Wed, 22 Apr 2009 14:15:41 +0200 Subject: jak nejlepe na praci s casem In-Reply-To: <49EF04D2.5030509@keytec.cz> References: <49EF04D2.5030509@keytec.cz> Message-ID: <20090422121541.GB49956@rax.devnull.cz> On Wed, Apr 22, 2009 at 01:51:46PM +0200, Jaroslav Votruba wrote: > cas od casu potrebuji zjitit, ktery datum pripada na jakej den, pripadne > rozdil mezi 2mi daty. Prikazem date mi to jednoduse nejde (nebo to spis > neumim), tak?e na to vyuzivam mysql, ale muj postup mi prijde trochu > (vic) neohrabanej. Jdu na to tak, ze si prikazy vlozim do souboru a ten > pak podstrcim mysql ke zpracovan? a vysledek vkladam zpet do souboru. > mysql -uroot -pheslo < prikazy.sql > vystup.txt > > kde prikazy jsou napr > SELECT DATEDIFF('2009-03-09', '2011-03-09'); > select dayname('2020-12-24'); Jen od oka: echo "(`date -j "+%s" 201103090000` - `date -j "+%s" 200903090000`) / 86400" | bc date -j "+%A" 202012240000 > > jde to nejak inteligentnejc pomoci neceho jineho, pripadne jak to udelat > lepe, abych se vyhnul pouziti souboru, tj prikaz i vysledek abych zadal > a dostal z prikazove radky > Jarda /h. From jf at devnull.cz Wed Apr 22 14:19:50 2009 From: jf at devnull.cz (Jan Friedel) Date: Wed, 22 Apr 2009 14:19:50 +0200 Subject: jak nejlepe na praci s casem In-Reply-To: References: <49EF04D2.5030509@keytec.cz> Message-ID: <20090422121950.GC49956@rax.devnull.cz> On Wed, Apr 22, 2009 at 02:00:20PM +0200, Indigo wrote: > Ahoj, > jednak bych doporucil drobnou optimalizaci: > > vystup=`mysql -uroot -pheslo < EOF > SELECT DATEDIFF('2009-03-09', '2011-03-09'); > EOF` Heslo na prikazove radce - nikdy. Cim dele trva dotaz do databaze, tim vetsi je sance nechteneho odhaleni hesla ostatnimi uzivateli jen pomoci `ps -wax`. /h. From danger at FreeBSD.org Wed Apr 22 14:39:31 2009 From: danger at FreeBSD.org (Daniel Gerzo) Date: Wed, 22 Apr 2009 14:39:31 +0200 Subject: jak nejlepe na praci s casem In-Reply-To: <20090422121950.GC49956@rax.devnull.cz> References: <49EF04D2.5030509@keytec.cz> <20090422121950.GC49956@rax.devnull.cz> Message-ID: <49EF1003.8000609@FreeBSD.org> Jan Friedel wrote: > On Wed, Apr 22, 2009 at 02:00:20PM +0200, Indigo wrote: >> Ahoj, >> jednak bych doporucil drobnou optimalizaci: >> >> vystup=`mysql -uroot -pheslo < EOF >> SELECT DATEDIFF('2009-03-09', '2011-03-09'); >> EOF` > > Heslo na prikazove radce - nikdy. Cim dele trva dotaz do > databaze, tim vetsi je sance nechteneho odhaleni hesla ostatnimi > uzivateli jen pomoci `ps -wax`. security.bsd.see_other_uids=0 security.bsd.see_other_gids=0 -- Best regards Daniel Gerzo, FreeBSD Committer From jf at devnull.cz Wed Apr 22 14:44:23 2009 From: jf at devnull.cz (Jan Friedel) Date: Wed, 22 Apr 2009 14:44:23 +0200 Subject: OT - Re: jak nejlepe na praci s casem In-Reply-To: <49EF1003.8000609@FreeBSD.org> References: <49EF04D2.5030509@keytec.cz> <20090422121950.GC49956@rax.devnull.cz> <49EF1003.8000609@FreeBSD.org> Message-ID: <20090422124423.GD49956@rax.devnull.cz> On Wed, Apr 22, 2009 at 02:39:31PM +0200, Daniel Gerzo wrote: > Jan Friedel wrote: > >On Wed, Apr 22, 2009 at 02:00:20PM +0200, Indigo wrote: > >>Ahoj, > >> jednak bych doporucil drobnou optimalizaci: > >> > >>vystup=`mysql -uroot -pheslo < EOF > >>SELECT DATEDIFF('2009-03-09', '2011-03-09'); > >>EOF` > > > > Heslo na prikazove radce - nikdy. Cim dele trva dotaz do > > databaze, tim vetsi je sance nechteneho odhaleni hesla ostatnimi > > uzivateli jen pomoci `ps -wax`. > > security.bsd.see_other_uids=0 > security.bsd.see_other_gids=0 Otazka je, jestli toto je vzdy vhodne.. Ale jinak dobry hint o kterem jsem nevedel ;) /h. From freebsd-users-l at wilbury.sk Wed Apr 22 15:27:57 2009 From: freebsd-users-l at wilbury.sk (Juraj Lutter) Date: Wed, 22 Apr 2009 15:27:57 +0200 Subject: OT - Re: jak nejlepe na praci s casem In-Reply-To: <20090422124423.GD49956@rax.devnull.cz> References: <49EF04D2.5030509@keytec.cz> <20090422121950.GC49956@rax.devnull.cz> <49EF1003.8000609@FreeBSD.org> <20090422124423.GD49956@rax.devnull.cz> Message-ID: <49EF1B5D.10105@wilbury.sk> Jan Friedel wrote: > On Wed, Apr 22, 2009 at 02:39:31PM +0200, Daniel Gerzo wrote: >> Jan Friedel wrote: >>> On Wed, Apr 22, 2009 at 02:00:20PM +0200, Indigo wrote: >>>> Ahoj, >>>> jednak bych doporucil drobnou optimalizaci: >>>> >>>> vystup=`mysql -uroot -pheslo < EOF >>>> SELECT DATEDIFF('2009-03-09', '2011-03-09'); >>>> EOF` >>> Heslo na prikazove radce - nikdy. Cim dele trva dotaz do >>> databaze, tim vetsi je sance nechteneho odhaleni hesla ostatnimi >>> uzivateli jen pomoci `ps -wax`. >> security.bsd.see_other_uids=0 >> security.bsd.see_other_gids=0 > > Otazka je, jestli toto je vzdy vhodne.. > > Ale jinak dobry hint o kterem jsem nevedel ;) mysql -B --defaults-file=/cesta/k/configu ... do configu: [client] user=... password=... config nemusi byt citatelny pre ineho usera, ako vykonavajuceho danu sql query. tym padom heslo v procesoch vidiet nie je. navyse, mysql binarka pouziva setproctitle() na skrytie skutocneho argumentu k -p. otis -- Juraj Lutter | /\ ASCII Ribbon Campaign otis (at) wilbury (dot) sk | \/ - NO HTML/RTF in e-mail http://www.wilbury.sk/ | /\ - NO Word docs in e-mail JID: otis (at) jabber (dot) vx (dot) sk !07/11 PDP a ni deppart m'I !pleH From indigo at eiecon.net Wed Apr 22 15:42:42 2009 From: indigo at eiecon.net (Indigo) Date: Wed, 22 Apr 2009 15:42:42 +0200 Subject: OT - Re: jak nejlepe na praci s casem In-Reply-To: <49EF1B5D.10105@wilbury.sk> References: <49EF04D2.5030509@keytec.cz> <20090422121950.GC49956@rax.devnull.cz> <49EF1003.8000609@FreeBSD.org> <20090422124423.GD49956@rax.devnull.cz> <49EF1B5D.10105@wilbury.sk> Message-ID: On Wed, 22 Apr 2009 15:27:57 +0200, Juraj Lutter wrote: > Jan Friedel wrote: >> On Wed, Apr 22, 2009 at 02:39:31PM +0200, Daniel Gerzo wrote: >>> Jan Friedel wrote: >>>> On Wed, Apr 22, 2009 at 02:00:20PM +0200, Indigo wrote: >>>>> Ahoj, >>>>> jednak bych doporucil drobnou optimalizaci: >>>>> >>>>> vystup=`mysql -uroot -pheslo < EOF >>>>> SELECT DATEDIFF('2009-03-09', '2011-03-09'); >>>>> EOF` >>>> Heslo na prikazove radce - nikdy. Cim dele trva dotaz do >>>> databaze, tim vetsi je sance nechteneho odhaleni hesla ostatnimi >>>> uzivateli jen pomoci `ps -wax`. >>> security.bsd.see_other_uids=0 >>> security.bsd.see_other_gids=0 >> Otazka je, jestli toto je vzdy vhodne.. Ale jinak dobry hint o >> kterem jsem nevedel ;) > > > mysql -B --defaults-file=/cesta/k/configu ... > > do configu: > > [client] > user=... > password=... > > config nemusi byt citatelny pre ineho usera, ako vykonavajuceho danu sql > query. tym padom heslo v procesoch vidiet nie je. navyse, mysql binarka > pouziva setproctitle() na skrytie skutocneho argumentu k -p. > > otis > > > Urcite jsem nechtel tazatele podporovat v pouzivani mysql z prikazove rady. Spis ho odstrcit od pouzivani temporary souboru. V. From 000.fbsd at quip.cz Wed Apr 22 15:43:34 2009 From: 000.fbsd at quip.cz (Miroslav Lachman) Date: Wed, 22 Apr 2009 15:43:34 +0200 Subject: jak nejlepe na praci s casem In-Reply-To: <49EF04D2.5030509@keytec.cz> References: <49EF04D2.5030509@keytec.cz> Message-ID: <49EF1F06.6000705@quip.cz> Jaroslav Votruba wrote: > cas od casu potrebuji zjitit, ktery datum pripada na jakej den, pripadne > rozdil mezi 2mi daty. Prikazem date mi to jednoduse nejde (nebo to spis > neumim), tak?e na to vyuzivam mysql, ale muj postup mi prijde trochu > (vic) neohrabanej. Jdu na to tak, ze si prikazy vlozim do souboru a ten > pak podstrcim mysql ke zpracovan? a vysledek vkladam zpet do souboru. > mysql -uroot -pheslo < prikazy.sql > vystup.txt > > kde prikazy jsou napr > SELECT DATEDIFF('2009-03-09', '2011-03-09'); > select dayname('2020-12-24'); > > jde to nejak inteligentnejc pomoci neceho jineho, pripadne jak to udelat > lepe, abych se vyhnul pouziti souboru, tj prikaz i vysledek abych zadal > a dostal z prikazove radky Date diff se mi ted nechce z hlavy resit, ale jmeno dne lze zjistit ciste pouzitim prikazu `date`. Do MySQL bych kvuli tomu rozhodne nesahal. # date -j -f "%Y-%m-%d" 2009-03-29 "+%A" Sunday Mirek From hrabec at naxo.net Wed Apr 22 16:48:00 2009 From: hrabec at naxo.net (Josef Hrabec) Date: Wed, 22 Apr 2009 16:48:00 +0200 (CEST) Subject: IPSEC - prechod z ISA serveru Message-ID: <57522.172.20.8.10.1240411680.squirrel@email.naxo.net> > Pokud by byli na druhem konci ochotni spolupracovat alespon minimalne, > at dodaji LOG. Podle meho vlastniho zkoumani (ten disassembler se nekdy > opravdu hodi, protoze dokumentace stoji za kocku a co clovek nevylame z > DLL to nema) potrebny LOG na strane Woken ziskaji zapnutim: Diky za cenne podnety, rozhodne me tato korenspondence nasmerovala dal ale jak rikas, nejake informace z druhe strany by byly opravdu cenne, jinak je to dost nesnadny boj. Ja zkusim neco ziskat, ale protoze je druha strana francouzka, bude chvili trvat nez nich neco rozumneho vylamu. Francouzi obvykle reaguji na kazdy treti email ktery jim clovek posle a nekdy ani to ne... :-\ Pepa. From jozef.babjak at gmail.com Wed Apr 22 21:30:12 2009 From: jozef.babjak at gmail.com (Jozef Babjak) Date: Wed, 22 Apr 2009 21:30:12 +0200 Subject: OT - Re: jak nejlepe na praci s casem In-Reply-To: <20090422124423.GD49956@rax.devnull.cz> References: <49EF04D2.5030509@keytec.cz> <20090422121950.GC49956@rax.devnull.cz> <49EF1003.8000609@FreeBSD.org> <20090422124423.GD49956@rax.devnull.cz> Message-ID: >> security.bsd.see_other_uids=0 >> security.bsd.see_other_gids=0 > > ? ? ? ?Otazka je, jestli toto je vzdy vhodne.. ^-- "Vzdy" urcite nie; ak by tomu tak bolo, bolo by to default. :-) Ja osobne tieto nastavenia pouzivam aj na svojom notebooku, ktory pouzivam vyhradne ja. Dovod je ten, ze v prikaze top sa mi potom automaticky zobrazuju iba moje procesy, bez toho aby som musel top o to explicitne poziadat. Ale to je samozrejme _moje_ riesenie, ktore vyhovuje _mne_ a hocikomu z vas sa moze zdat uplne zle. J. From jozef.babjak at gmail.com Wed Apr 22 21:35:25 2009 From: jozef.babjak at gmail.com (Jozef Babjak) Date: Wed, 22 Apr 2009 21:35:25 +0200 Subject: jak nejlepe na praci s casem In-Reply-To: <49EF1F06.6000705@quip.cz> References: <49EF04D2.5030509@keytec.cz> <49EF1F06.6000705@quip.cz> Message-ID: > Date diff se mi ted nechce z hlavy resit, ale jmeno dne lze zjistit ciste ^-- Ked sme pri tom, prikazom date a vhodnym formatom je mozne datum previest na sekundy od 1.1.1970. Zvysok riesenia je aritmetika; man bc(1), ak by mal povodny opytujuci sa zaujem. J. From jaroslav.votruba at keytec.cz Thu Apr 23 06:04:15 2009 From: jaroslav.votruba at keytec.cz (Jaroslav Votruba) Date: Thu, 23 Apr 2009 06:04:15 +0200 Subject: jak nejlepe na praci s casem In-Reply-To: References: <49EF04D2.5030509@keytec.cz> <49EF1F06.6000705@quip.cz> Message-ID: <49EFE8BF.2010905@keytec.cz> > ^-- Ked sme pri tom, prikazom date a vhodnym formatom je mozne datum > previest na sekundy od 1.1.1970. Zvysok riesenia je aritmetika; man > bc(1), ak by mal povodny opytujuci sa zaujem. > > J. > pro me je jednodussi zadat ten prikaz databazi (to si pamatuju) , nez premejslet kolik ma den vterin a pod. Touto cestou jsem se chtel ubirat puvodne, ale rezignoval jsem na to (duvodem bylo palivo lidskeho pokroku-lenost) spis by me zajimalo, jestli nema radkovy klient mysql nejaky parametr, za ktery by se napsal prikaz a vysledek neklopit do souboru ale na stdout? to Lachman s tim date jsem se o to pokousel, ale nejak se mi nedarilo, takze diky za reseni to Lutter necha se myslq timto zpusobem dalsi config, nebo to je cesta na my.cnf ? Necha se tech uzivatelu tam nadefinovat vice? friedel jak dlouho asi muze trvat zpracovani teto jednoduche funkce? Myslim, ze je to nemeritelne a zanedbatelne. V pripade paranoi neni problem zalozit uzivatele v DB, ktery nema prava na d zadnou DB. Nebo ne? Indigo ucit se dalsi jazyk-na to nemam cas, bohuzel. Ne ze bych nechtel, ale potreboval bych se naklonovat, tak 3x. Jarda From jozef.babjak at gmail.com Thu Apr 23 06:44:21 2009 From: jozef.babjak at gmail.com (Jozef Babjak) Date: Thu, 23 Apr 2009 06:44:21 +0200 Subject: jak nejlepe na praci s casem In-Reply-To: <49EFE8BF.2010905@keytec.cz> References: <49EF04D2.5030509@keytec.cz> <49EF1F06.6000705@quip.cz> <49EFE8BF.2010905@keytec.cz> Message-ID: > premejslet kolik ma den vterin a pod. Touto cestou jsem se chtel ubirat ^-- Tak este raz. Pomocou date ide previest datum na sekundy od pevne stanoveneho okamziku. Rozdiel takychto datumov je jednoduche odcitanie, vysledkom su sekundy. Vyssie bolo ukazane, ako sa nejaky casovy udaj vo formate X da previest pomocou date na format Y, cim sa da urobit spa:tny prevod zo sekund na formatovany datum. Nikde ziadna magia. > spis by me zajimalo, jestli nema radkovy klient mysql nejaky parametr, za > ktery by se napsal prikaz a vysledek neklopit do souboru ale na stdout? ^-- V poriadku, ale preco v tejto konferencii? > ucit se dalsi jazyk-na to nemam cas, bohuzel. Ne ze bych nechtel, ale > potreboval bych se naklonovat, tak 3x. ^-- That is your choice. Ucit sa dalsi [*] jazyk cas nemas. V poriadku, chapem, velmi dobre viem co je nedostatok casu. Ale dva dni riesit ako zistit rozdiel datumov, na to cas mas? [*] Mimochodom, ktore jazyky uz vies? V ktorom z nich neslo uvedeny problem vyriesit napisanim toolu? J. From jaroslav.votruba at keytec.cz Thu Apr 23 07:04:19 2009 From: jaroslav.votruba at keytec.cz (Jaroslav Votruba) Date: Thu, 23 Apr 2009 07:04:19 +0200 Subject: jak nejlepe na praci s casem -OT In-Reply-To: References: <49EF04D2.5030509@keytec.cz> <49EF1F06.6000705@quip.cz> <49EFE8BF.2010905@keytec.cz> Message-ID: <49EFF6D3.4090604@keytec.cz> > Vyssie bolo ukazane, ako sa nejaky > casovy udaj vo formate X da previest pomocou date na format Y, cim sa > da urobit spa:tny prevod zo sekund na formatovany datum. Nikde ziadna > magia. > > ja vim, ale predhodit to databazi da min prace >> spis by me zajimalo, jestli nema radkovy klient mysql nejaky parametr, za >> ktery by se napsal prikaz a vysledek neklopit do souboru ale na stdout? >> > > ^-- V poriadku, ale preco v tejto konferencii? > > kdyz uz jsem to nakous, a tady ma vetsina lidi mnohem vetsi zkusennosti s mysql nez ja, tak staci napsat jednu , dve radky. Myslim si ze to teto konfere neublizi. Jen bych timto zase nechtel rozpoutat nejaky flame, ze je to konfera o bsd. >> ucit se dalsi jazyk-na to nemam cas, bohuzel. Ne ze bych nechtel, ale >> potreboval bych se naklonovat, tak 3x. >> > > ^-- That is your choice. Ucit sa dalsi [*] jazyk cas nemas. V > poriadku, chapem, velmi dobre viem co je nedostatok casu. Ale dva dni > riesit ako zistit rozdiel datumov, na to cas mas? > ale ja to 2 dny neresim. Ja reseni mam. Chtel jsem jen vedet, jestli to jde jednoduseji, coz mi pomoci date a bc moc neprijde. > [*] Mimochodom, ktore jazyky uz vies? V ktorom z nich neslo uvedeny > problem vyriesit napisanim toolu? > > zatim mi stacil bash, html a php (trochu). problem je v tom, ze i kdyz se neco zacnu ucit, tak pak pro to dlouho nemam vyuziti a zapomenu to napsat tool je hezky ( a mam jej v bashi), ale ja chtel neco jednoducheho, co si zapamatuji i bez toho ze bych musel dlouze studovat man a skladat nejaky rovnice. Pro vas je to nejspis jednoduche apamatujete si vsechny parametry a otazka par vterin, pro me ne. From jojo at matfyz.cz Thu Apr 23 07:18:56 2009 From: jojo at matfyz.cz (Marian Cerny) Date: Thu, 23 Apr 2009 07:18:56 +0200 Subject: jak nejlepe na praci s casem - OT In-Reply-To: <49EFE8BF.2010905@keytec.cz> References: <49EF04D2.5030509@keytec.cz> <49EF1F06.6000705@quip.cz> <49EFE8BF.2010905@keytec.cz> Message-ID: <49EFFA40.6040605@matfyz.cz> On 23.4.2009 6:04, Jaroslav Votruba wrote: > spis by me zajimalo, jestli nema radkovy klient mysql nejaky parametr, > za ktery by se napsal prikaz a vysledek neklopit do souboru ale na > stdout? Ma, ten parameter je -e. Ja vecsinou ked chcem vediet, ci nejaky prikaz ma nejaky parameter, tak pozriem manualovu stranku a prejdem parameter za parametrom, ci tam taky ako chcem, nie je. Vecsinou je rychlejsie nez pisat dotaz do konferencie. Marian From jf at devnull.cz Thu Apr 23 09:49:18 2009 From: jf at devnull.cz (Jan Friedel) Date: Thu, 23 Apr 2009 09:49:18 +0200 Subject: jak nejlepe na praci s casem In-Reply-To: <49EFE8BF.2010905@keytec.cz> References: <49EF04D2.5030509@keytec.cz> <49EF1F06.6000705@quip.cz> <49EFE8BF.2010905@keytec.cz> Message-ID: <20090423074918.GA57221@rax.devnull.cz> On Thu, Apr 23, 2009 at 06:04:15AM +0200, Jaroslav Votruba wrote: . . > friedel > jak dlouho asi muze trvat zpracovani teto jednoduche funkce? > Myslim, ze je to nemeritelne a zanedbatelne. V pripade paranoi neni > problem zalozit uzivatele v DB, ktery nema prava nad zadnou DB. Nebo > ne? I kdyz nechapu smysl tveho dotazu, resp. tvou odpoved na nej (nebo ta case zacinajici "V pripade.." se nevztahuje k predeslemu textu?).. sh> time (echo .. | bc) sh> time (mysql .. ) K samotnemu pouziti bc pak jedine; vzhledem k jednoduchosti aritmetiky ma temer kazdy shell vice ci mene optimalizovane prostredky a je pouze na tobe, kterou cestu zvolis. Priklad ktery jsem uvadel je vice mene univerzalni (proveditelny v generickem sh(1)) - tudiz neoptimalizovany. /h. From jaroslav.votruba at keytec.cz Thu Apr 23 10:59:24 2009 From: jaroslav.votruba at keytec.cz (Jaroslav Votruba) Date: Thu, 23 Apr 2009 10:59:24 +0200 Subject: PowerChute a freebsd Message-ID: <49F02DEC.2070603@keytec.cz> Na webu jsem nasel, ze PowerChute od APC neni pro freebsd, ale prej s uspechem, pouzivaji apcupsd. Na strance projektu pisou o bugu FreeBSD kernel panics if USB cable is unplugged while apcupsd is running. s tim ze tato chyba bude v bsd opravena. Uz se tak stalo? Jake mate zkusennosti s pouzivanim tohoto toolu? Jarda From dan at obluda.cz Thu Apr 23 11:11:10 2009 From: dan at obluda.cz (Dan Lukes) Date: Thu, 23 Apr 2009 11:11:10 +0200 Subject: jak nejlepe na praci s casem In-Reply-To: <49EF1003.8000609@FreeBSD.org> References: <49EF04D2.5030509@keytec.cz> <20090422121950.GC49956@rax.devnull.cz> <49EF1003.8000609@FreeBSD.org> Message-ID: <49F030AE.9070408@obluda.cz> >>> vystup=`mysql -uroot -pheslo < EOF >>> SELECT DATEDIFF('2009-03-09', '2011-03-09'); >>> EOF` >> Heslo na prikazove radce - nikdy > security.bsd.see_other_uids=0 > security.bsd.see_other_gids=0 No, predevsim, na operaci DATEDIFF nepotrebuju byt "root". Na to mi staci uzivatel, ktery nema naprosto zadna prava a tudiz prilis nevadi, ze nema ani zadne heslo (obzvlast, kdyz navic smi pristupovat jen z localhostu). Pak zadne heslo zadavat nemusim ... Ale ja bych MySQL na tohle nepouzival. Dvoji volani 'date", ktere to prevede na timestamp, pak odecist, jak uz tu nakonec padlo, to je podle meho daleko cistsi reseni. Dan From freebsd-users-l at wilbury.sk Thu Apr 23 11:10:08 2009 From: freebsd-users-l at wilbury.sk (Juraj Lutter) Date: Thu, 23 Apr 2009 11:10:08 +0200 Subject: PowerChute a freebsd In-Reply-To: <49F02DEC.2070603@keytec.cz> References: <49F02DEC.2070603@keytec.cz> Message-ID: <49F03070.1080809@wilbury.sk> Jaroslav Votruba wrote: > Na webu jsem nasel, ze PowerChute od APC neni pro freebsd, ale prej s > uspechem, pouzivaji apcupsd. > Na strance projektu pisou o bugu > FreeBSD kernel panics if USB cable is unplugged while apcupsd is running. > s tim ze tato chyba bude v bsd opravena. Uz se tak stalo? Jake mate > zkusennosti s pouzivanim tohoto toolu? Jednoznacne pozitivne, funguje ako ma. Dlhorocne. -- Juraj Lutter | /\ ASCII Ribbon Campaign otis (at) wilbury (dot) sk | \/ - NO HTML/RTF in e-mail http://www.wilbury.sk/ | /\ - NO Word docs in e-mail JID: otis (at) jabber (dot) vx (dot) sk !07/11 PDP a ni deppart m'I !pleH From lumax at in.acompp.sk Thu Apr 23 11:15:50 2009 From: lumax at in.acompp.sk (Lubomir Majersky) Date: Thu, 23 Apr 2009 11:15:50 +0200 Subject: PowerChute a freebsd In-Reply-To: <49F02DEC.2070603@keytec.cz> References: <49F02DEC.2070603@keytec.cz> Message-ID: <49F031C6.8050109@in.acompp.sk> Osobne nemam ziaden problem. Pouzivam to na vsetkych serveroch a simuloval som si aj taku situaciu, ze som odpojil kabel... ...pre istotu pred chvilkou na testovacom serveri. Demon len zakrici, ze sa stratila komunikacia... -- LuMaX Jaroslav Votruba wrote / nap?sal(a): > Na webu jsem nasel, ze PowerChute od APC neni pro freebsd, ale prej s > uspechem, pouzivaji apcupsd. > Na strance projektu pisou o bugu > FreeBSD kernel panics if USB cable is unplugged while apcupsd is running. > s tim ze tato chyba bude v bsd opravena. Uz se tak stalo? Jake mate > zkusennosti s pouzivanim tohoto toolu? From dan at obluda.cz Thu Apr 23 11:19:26 2009 From: dan at obluda.cz (Dan Lukes) Date: Thu, 23 Apr 2009 11:19:26 +0200 Subject: OT - Re: jak nejlepe na praci s casem In-Reply-To: References: <49EF04D2.5030509@keytec.cz> <20090422121950.GC49956@rax.devnull.cz> <49EF1003.8000609@FreeBSD.org> <20090422124423.GD49956@rax.devnull.cz> Message-ID: <49F0329E.7000601@obluda.cz> Jozef Babjak wrote: >>> security.bsd.see_other_uids=0 >>> security.bsd.see_other_gids=0 >> Otazka je, jestli toto je vzdy vhodne.. > > ^-- "Vzdy" urcite nie; ak by tomu tak bolo, bolo by to default. :-) Odpoved v tomto pripade je "zpetna kompatibilita". "Videt" parametry cizich procesu se dalo natolik odjakziva, ze by to vsichni meli povazovat za (mozna neprijemnou) vlastnost, nikoliv - nikoliv za chybu operacniho systemu. Dan From dan at obluda.cz Thu Apr 23 11:23:10 2009 From: dan at obluda.cz (Dan Lukes) Date: Thu, 23 Apr 2009 11:23:10 +0200 Subject: PowerChute a freebsd In-Reply-To: <49F02DEC.2070603@keytec.cz> References: <49F02DEC.2070603@keytec.cz> Message-ID: <49F0337E.6000500@obluda.cz> Jaroslav Votruba wrote: > Na webu jsem nasel, ze PowerChute od APC neni pro freebsd, ale prej s > uspechem, pouzivaji apcupsd. > Na strance projektu pisou o bugu > FreeBSD kernel panics if USB cable is unplugged while apcupsd is running. > s tim ze tato chyba bude v bsd opravena. Uz se tak stalo? Jake mate > zkusennosti s pouzivanim tohoto toolu? Apcupsd ? Dlouholete. Nakonec, APC preferuju do znacne miry prave kvuli nemu. Jen ho nepripojuju pres USB ;-) Jo - a asi bych mel dodat, ze ja kdyz APC, tak ja zasadne radu "Smart". Pokud planujes radu "Back" - tak ta ma jinou signalizaci/protokol a u te nemohu slouzit - vlastne ani nevim, jestli pro ni apcupsd funguje. Dan From pm-conf at kostax.cz Thu Apr 23 12:40:28 2009 From: pm-conf at kostax.cz (Petr Macek) Date: Thu, 23 Apr 2009 12:40:28 +0200 Subject: PowerChute a freebsd In-Reply-To: <49F0337E.6000500@obluda.cz> References: <49F02DEC.2070603@keytec.cz> <49F0337E.6000500@obluda.cz> Message-ID: <49F0459C.2050300@kostax.cz> > Apcupsd ? Dlouholete. Nakonec, APC preferuju do znacne miry prave kvuli > nemu. tez preferuji APC, k me plne spokojenosti. Pouzivam i to co nabizi konfigurak - jeden jako netmaster s pripojenou UPS a nekolik dalsich slave pod nim. Tez funguje dobre. > > Jen ho nepripojuju pres USB ;-) pouzivam serial i USB. Pro USB je jen jedna nutnost (nebo apson byla), v kernelu vypnout: #device uhid # "Human Interface Devices" > Jo - a asi bych mel dodat, ze ja kdyz APC, tak ja zasadne radu "Smart". > Pokud planujes radu "Back" - tak ta ma jinou signalizaci/protokol a u te > nemohu slouzit - vlastne ani nevim, jestli pro ni apcupsd funguje. Nikdy jsem ty protokoly nezkoumal, ale kdyz pripojis backUPS, tak nepoznas rozdil. Demon z ni vycita stejne udaje jako ze smartu: root at samba ~ # tail -60 /var/log/apcupsd.status APC : 001,040,0993 DATE : Fri Mar 07 09:43:15 CET 2008 HOSTNAME : samba.nekde.cz RELEASE : 3.12.4 VERSION : 3.12.4 (19 August 2006) freebsd UPSNAME : samba.nekde.cz CABLE : USB Cable MODEL : Back-UPS CS 650 UPSMODE : Stand Alone STARTTIME: Wed Mar 05 09:38:40 CET 2008 STATUS : ONLINE LINEV : 238.0 Volts LOADPCT : 60.0 Percent Load Capacity BCHARGE : 100.0 Percent TIMELEFT : 9.5 Minutes MBATTCHG : 5 Percent MINTIMEL : 3 Minutes MAXTIME : 0 Seconds OUTPUTV : 230.0 Volts DWAKE : 000 Seconds DSHUTD : 000 Seconds LOTRANS : 19892.0 Volts HITRANS : 266.0 Volts RETPCT : 000.0 Percent ITEMP : 29.2 C Internal ALARMDEL : Always BATTV : 13.5 Volts LINEFREQ : 50.0 Hz LASTXFER : Low line voltage NUMXFERS : 0 TONBATT : 0 seconds CUMONBATT: 0 seconds XOFFBATT : N/A SELFTEST : NO STATFLAG : 0x07000008 Status Flag SERIALNO : 4B0745P24372 BATTDATE : 2007-11-02 NOMBATTV : 12.0 FIRMWARE : 17.v4.I USB FW:v4 APCMODEL : Back-UPS CS 650 END APC : Fri Mar 07 09:43:15 CET 2008 PM -- # --------------- # Petr Macek # pm at kostax.cz # icq: 87323239 # www.kostax.cz # MySQL www client (PHP) ... try it! # http://the.cz/mywwwatcher From dan at obluda.cz Thu Apr 23 12:58:30 2009 From: dan at obluda.cz (Dan Lukes) Date: Thu, 23 Apr 2009 12:58:30 +0200 Subject: PowerChute a freebsd In-Reply-To: <49F0459C.2050300@kostax.cz> References: <49F02DEC.2070603@keytec.cz> <49F0337E.6000500@obluda.cz> <49F0459C.2050300@kostax.cz> Message-ID: <49F049D6.4090400@obluda.cz> Petr Macek wrote: >> "Smart". Pokud planujes radu "Back" - tak ta ma jinou >> signalizaci/protokol a u te nemohu slouzit - vlastne ani nevim, jestli >> pro ni apcupsd funguje. Mozna, ze uz obchodni znaceni prestalo odpovidat pouzitemu komunikacnimu protokolu. "Back" protokol je "tupy" - pouziva drive tak oblibenou signalizaci "jeden drat jeden signal". "Smart" protokol uz je sofistikovanejsi - jde o normalni seriovou komunikaci, kdy klient do UPS posle prikaz (typicky jedno pismeno) a docka se odpovedi, tkera ma take textovou podobu. Dan P.S. Kdyby to nekoho napadlo zkouset, tak kombinaci "Z" "Z" s cca tri vterinovym intervalem mezi temito znaky zkousejde opatrne - je to prikaz "immediately off". A i nektere jine prikazy maji spatne zvratitelne efekty na nastaveni UPS. From hrabec at naxo.net Thu Apr 23 13:47:22 2009 From: hrabec at naxo.net (Josef Hrabec) Date: Thu, 23 Apr 2009 13:47:22 +0200 (CEST) Subject: PowerChute a freebsd Message-ID: <63739.172.20.8.10.1240487242.squirrel@email.naxo.net> > Jo - a asi bych mel dodat, ze ja kdyz APC, tak ja zasadne radu "Smart". > Pokud planujes radu "Back" - tak ta ma jinou signalizaci/protokol a u te > nemohu slouzit - vlastne ani nevim, jestli pro ni apcupsd funguje. > Pokud nema clovek dostatek financi na radu Smart, tak i s radou "Back" to funguje uspokojive. :-) Jenom bohuzel, u stavajici rady Back jiz neni pritomen seriovy port. Prodejce se mi pred obednanim modelu Back-UPS RS 1500 sice dusoval, ze seriak ma, ale nema... Na konec je jeste treba zminit ,ze rada "Back" se vyrabi s ruznymi verzemi elektroniky. Je to oznaceno pismeny RS, CS atd. Neketere typy pry maji po USB s apcupsd problemy. U nas mame v provozu modely s pismeny RS a CS a oba typy funguji bez potizi. zephyr# apcaccess APC : 001,027,0720 DATE : Thu Apr 23 13:20:08 CEST 2009 HOSTNAME : zephyr.naxo.net RELEASE : 3.14.2 VERSION : 3.14.2 (15 September 2007) freebsd UPSNAME : APC_500 CABLE : USB Cable MODEL : Back-UPS 500 UPSMODE : Stand Alone STARTTIME: Fri Mar 13 09:44:27 CET 2009 STATUS : BCHARGE : 100.0 Percent TIMELEFT : 43.0 Minutes MBATTCHG : 3 Percent MINTIMEL : 2 Minutes MAXTIME : 0 Seconds NUMXFERS : 8 XONBATT : Sun Mar 15 08:17:53 CET 2009 TONBATT : 0 seconds CUMONBATT: 20 seconds XOFFBATT : Sun Mar 15 08:17:56 CET 2009 STATFLAG : 0x07000000 Status Flag MANDATE : 2003-04-07 SERIALNO : BB0314013543 BATTDATE : 2003-04-07 FIRMWARE : 6.4.I USB FW: c1 APCMODEL : Back-UPS 500 END APC : Thu Apr 23 13:20:25 CEST 2009 nas# apcaccess APC : 001,037,0916 DATE : Thu Apr 23 13:11:05 CEST 2009 HOSTNAME : nas.naxo.net RELEASE : 3.14.0 VERSION : 3.14.0 (9 February 2007) freebsd UPSNAME : APC_1500 CABLE : USB Cable MODEL : Back-UPS RS 1500 UPSMODE : Stand Alone STARTTIME: Tue Apr 14 21:50:56 CEST 2009 STATUS : ONLINE LINEV : 236.0 Volts LOADPCT : 35.0 Percent Load Capacity BCHARGE : 100.0 Percent TIMELEFT : 24.0 Minutes MBATTCHG : 1 Percent MINTIMEL : 1 Minutes MAXTIME : 0 Seconds SENSE : Medium LOTRANS : 194.0 Volts HITRANS : 264.0 Volts ALARMDEL : Always BATTV : 26.9 Volts LASTXFER : No transfers since turnon NUMXFERS : 0 TONBATT : 0 seconds CUMONBATT: 0 seconds XOFFBATT : N/A SELFTEST : NO STATFLAG : 0x07000008 Status Flag MANDATE : 2008-04-11 SERIALNO : NB0815015445 BATTDATE : 2001-09-25 NOMINV : 230 NOMBATTV : 24.0 FIRMWARE : 8.g9a.I USB FW:g9a APCMODEL : Back-UPS RS 1500 END APC : Thu Apr 23 13:11:40 CEST 2009 From jan at dusatko.org Thu Apr 23 18:22:54 2009 From: jan at dusatko.org (=?windows-1250?B?RHWa4XRrbyBKYW4=?=) Date: Thu, 23 Apr 2009 18:22:54 +0200 Subject: PowerChute a freebsd In-Reply-To: <49F0459C.2050300@kostax.cz> References: <49F02DEC.2070603@keytec.cz> <49F0337E.6000500@obluda.cz> <49F0459C.2050300@kostax.cz> Message-ID: <01b401c9c42f$c1892f30$449b8d90$@org> > > > Apcupsd ? Dlouholete. Nakonec, APC preferuju do znacne miry prave > kvuli > > nemu. > > tez preferuji APC, k me plne spokojenosti. Pouzivam i to co nabizi > konfigurak - jeden jako netmaster s pripojenou UPS a nekolik dalsich > slave pod nim. Tez funguje dobre. > > > > Jen ho nepripojuju pres USB ;-) > > pouzivam serial i USB. Pro USB je jen jedna nutnost (nebo apson byla), > v > kernelu vypnout: > #device uhid # "Human Interface Devices" > > > Jo - a asi bych mel dodat, ze ja kdyz APC, tak ja zasadne radu > "Smart". > > Pokud planujes radu "Back" - tak ta ma jinou signalizaci/protokol a u > te > > nemohu slouzit - vlastne ani nevim, jestli pro ni apcupsd funguje. > Pouzivam jak SMART tak BACK bez problemu, ani neodstranuji uhid z kernelu. Momentalne bezim na verzich 6.1 az 7.1. Honza From jiri.kubina at osu.cz Fri Apr 24 08:57:00 2009 From: jiri.kubina at osu.cz (Jiri Kubina) Date: Fri, 24 Apr 2009 08:57:00 +0200 Subject: RAID monitoring - ServeRaid 7k / ips / Message-ID: <49F162BC.9030902@osu.cz> Dobry den Hledam reseni jak monitorovat stav logickych jednotek /nebo alespon fyzickych/ zapojenych do radice ServeRaid 7k /server IBM x346/ pouzity driver ips. Narazil jsem na nastroj uvedeny zde http://lists.freebsd.org/pipermail/freebsd-scsi/2006-February/002304.html , ktery sice stav zobrazi, ale nasleduje totalni pad serveru /asi za 10s/. Predpokladam, ze se zepta driveru nejak "nesetrne". Po tretim pokusu se poskodil FS takovym zpusobem, ze jsem musel preinstalovat system :o) . Jinak jedu 7.1-RELEASE-p4 FreeBSD amd64. Stacil by mi i vypis jaky se objevuje pri startu radice v dmesg: ips0: adapter type: ServeRAID 7k ips0: logical drives: 2 ips0: Logical Drive 0: RAID5 sectors: 286744576, state OK ips0: Logical Drive 1: RAID1 sectors: 585936896, state OK Pouzivate nekdo tento radic ? Monitorujete ho ? Predem diky za nasmerovani. -- Jiri Kubina Linux/Unix & Network Administrator Information Technology Center University of Ostrava Brafova 5 701 03 Ostrava Czech Republic jiri.kubina at osu.cz From pavel.honzejk at gmail.com Fri Apr 24 10:19:58 2009 From: pavel.honzejk at gmail.com (Pavel Honzejk) Date: Fri, 24 Apr 2009 10:19:58 +0200 Subject: RAID monitoring - ServeRaid 7k / ips / In-Reply-To: <49F162BC.9030902@osu.cz> References: <49F162BC.9030902@osu.cz> Message-ID: <49F1762E.7080308@gmail.com> Jiri Kubina napsal(a): > Dobry den > > Hledam reseni jak monitorovat stav logickych jednotek /nebo alespon > fyzickych/ zapojenych do radice ServeRaid 7k /server IBM x346/ pouzity > driver ips. > Pouzivate nekdo tento radic ? Monitorujete ho ? > > Predem diky za nasmerovani. > Dobry den. Nepouzivam tento radic, ale pro monitorovani SW raidu pouzivam tento script: http://www.cyclecide.com/~rudy/example/raid_status.html Treba bude fungovat na tomto radici. Pavel From m.prymek at gmail.com Sun Apr 26 14:31:42 2009 From: m.prymek at gmail.com (=?ISO-8859-1?Q?Miroslav_Pr=FDmek?=) Date: Sun, 26 Apr 2009 14:31:42 +0200 Subject: PowerChute a freebsd In-Reply-To: <01b401c9c42f$c1892f30$449b8d90$@org> References: <49F02DEC.2070603@keytec.cz> <49F0337E.6000500@obluda.cz> <49F0459C.2050300@kostax.cz> <01b401c9c42f$c1892f30$449b8d90$@org> Message-ID: <0AFDE909-45A3-431A-9C9C-56612389AF71@gmail.com> >> > Pouzivam jak SMART tak BACK bez problemu, ani neodstranuji uhid z > kernelu. > Momentalne bezim na verzich 6.1 az 7.1. Jestli jsem to spravne pochopil, drivejsi kernely UPSku nejak spatne rozpoznaly, proto bylo nutne uhid vypnout, dneska uz jsou rozpoznany spravne: kernel: ugen0: American Power Conversion Back-UPS RS 1000 FW:7.g8 .D USB FW:g8, rev 1.10/1.06, addr 2 Mirek From zburget at burgnet.cz Sun Apr 26 19:14:27 2009 From: zburget at burgnet.cz (=?UTF-8?B?WmJ5bsSbayBCdXJnZXQ=?=) Date: Sun, 26 Apr 2009 19:14:27 +0200 Subject: PowerChute a freebsd In-Reply-To: <0AFDE909-45A3-431A-9C9C-56612389AF71@gmail.com> References: <49F02DEC.2070603@keytec.cz> <49F0337E.6000500@obluda.cz> <49F0459C.2050300@kostax.cz> <01b401c9c42f$c1892f30$449b8d90$@org> <0AFDE909-45A3-431A-9C9C-56612389AF71@gmail.com> Message-ID: <49F49673.3050801@burgnet.cz> Miroslav Pr?mek napsal(a): > Jestli jsem to spravne pochopil, drivejsi kernely UPSku nejak spatne > rozpoznaly, proto > bylo nutne uhid vypnout, dneska uz jsou rozpoznany spravne: Pokud se pamatuju, tak to spis bylo chybou ovladace uhid, ktery si UPSku "prisvojil" a on se o ni mel starat spravne ugen. Dnes je tato chyba uz davno opravena. Zbynek From zburget at burgnet.cz Sun Apr 26 19:41:19 2009 From: zburget at burgnet.cz (=?ISO-8859-2?Q?Zbyn=ECk_Burget?=) Date: Sun, 26 Apr 2009 19:41:19 +0200 Subject: IPFW pravidlo fwd Message-ID: <49F49CBF.6020206@burgnet.cz> Zdravim konferenci, zacal jsem experimentovat s pravidelm fwd ve snaze rozbehnout tak trivialni vec, jako transparentni proxy. Nejak se z toho nemuzu vyhrabat a samzrejme, ze mi to nefunguje. Stav je nasledujici: kernel je prelozeny s IPFIREWALL_FORWARD v IPFW pravidlech mam provoz zorhozeny na ctyri vetve podle iface a smeru toku packetu - recv iif; recv oif; xmit iif; xmit oif squid mam nakonfigurovany (snad) dobre v ipfw mam pravidlo, kterym si forwarduju profoz na port 80 na 127.0.0.1:2138 Testovano je to za provozu na routeru, pres ktery tecou trvale radove desitky mbit. A ted moje ruzna zjisteni. 1) Pokud dam forwardovaci pravidlo do vetve recv iif, k forwardnuti packetu sice dojde, ale na squid uz forwardnuty packet nedorazi (v zadnem logu squida neni zadny zaznam) - jen se zapocitaji sva packety na forwardovacim pravidle. 2) Forwardovaci pravidlo umistene do vetve xmit oif: a) Pokud je pravidlo urcene pouze pro provoz z meho testovaciho stroje, pak vse funguje, jak ma. ipfw add XXXX fwd 127.0.0.1,3128 all from A.B.C.D to any 80 2b) Pokud je pravidlo napsano obecne, dostanu ve webovem prohlizeci hlasku o Access denied (?!) Tento stav nemuzu nechavat nijak dlouho (typicky pouze par sekund nekdy v noci), protoze je testovano za ostreho provozu. ipfw add XXXX fwd 127.0.0.1,3128 all from any to anz 80 a k tomu jeste jdna vec, co mne prekvapila - na iface lo0 v pripade [1] nevidim vubec zadny provoz. V pripade [2a] vidim pouze dns provoz jdouci pravdepodobne od squida (dns server je na stejnem stroji jako firewall se squidem). V pripade [2b] vidim na lo0 kvanta packetu jdoucich od webovych serveru z internetu pro stroje ve vnitrni siti (nechapu, kudy se tam zatoulaly) a opet dns provoz. Zkousel jsem jeste jednu variantu, ze jsem si webovy provoz od testovaciho stroje v ipfw "skipnul" do samostatneho kousicku, kde jsem pak pouzil vseobecne forwardovaci pravidlo. To fungovalo spolehlive. Takze mne zarazi, kde je vlastne rozdil mezi tim pravidlem pro jeden jediny testovaci stroj a pravidlem vseobecnym. V jednom pripade suquid funguju, v druhem pripade squid tvdri, ze access denied. Pritom neni nikde zadny jiny ozdil, pouze v tom, ze jednou je ve forwardovacim pravidle uvedena konkretni IP, resp. "any". Napada nekoho, cim to muze byt? Co zasadniho jsem kde prehlidl? Uz mne nenapada, jakym nastrojem bych mohl zjistit, kudy se mi vlastne ty packety potuluji - kdyz tcpdump na lo0 zaryte mlci, pripadne ukazuje prooz, ktery bych tam ani omylem necekal. Zbynek P.S.: ...a pak jeste jeden dotaz do budoucna, az mi to konecne bude fungovat - s jakym redirectorem mate dobre zkusenosti? Budu potrebovat pro urcite IP adresy redirectnout webovy provoz na nejakou vyhruznou stranku (zakaznikum majicim zavirovany PC a rozesilajicim SPAM, pripadne zakaznikum neplaticim apod.). Uplne uzasne by bylo, kdyby se dalo i nastavit, ze se nejaka "vyhruzna" stranka ma zobrazovat treba jednou denne / kazdou hodinu / kazdych 5 min. / trvale ...jednodussi je se zeptat, nez objevovat ameriku. Na tento dotaz staci jednoslovna odpoved (jmeno programu) From hrabec at naxo.net Sun Apr 26 21:04:16 2009 From: hrabec at naxo.net (Josef Hrabec) Date: Sun, 26 Apr 2009 21:04:16 +0200 Subject: IPFW pravidlo fwd References: <49F49CBF.6020206@burgnet.cz> Message-ID: > 2b) Pokud je pravidlo napsano obecne, dostanu ve webovem prohlizeci hlasku > o Access denied (?!) Tento stav nemuzu nechavat nijak dlouho (typicky > pouze par sekund nekdy v noci), protoze je testovano za ostreho provozu. > ipfw add XXXX fwd 127.0.0.1,3128 all from any to anz 80 Je dost mozne, ze timto pravidlem vracis pakety ktere squid vygeneruje zpet k nemu a on se pak nikam ven nedboucha. Zkus pridat pravidlo, ktere to pravidlo XXXX preskoci prave v pripade, kdy na portu 80 komunikuje IP na ktere squid posloucha. > P.S.: > ...a pak jeste jeden dotaz do budoucna, az mi to konecne bude fungovat - s > jakym redirectorem mate dobre zkusenosti? Budu potrebovat pro urcite IP > adresy redirectnout webovy provoz na nejakou vyhruznou stranku (zakaznikum > majicim zavirovany PC a rozesilajicim SPAM, pripadne zakaznikum neplaticim > apod.). Uplne uzasne by bylo, kdyby se dalo i nastavit, ze se nejaka > "vyhruzna" stranka ma zobrazovat treba jednou denne / kazdou hodinu / > kazdych 5 min. / trvale Co treba spustit apache s potrebnou strankou a pak bud rucne nebo cronem nahodit prislusne fwd pravidlo? Pepa. From dan at obluda.cz Mon Apr 27 07:24:15 2009 From: dan at obluda.cz (Dan Lukes) Date: Mon, 27 Apr 2009 07:24:15 +0200 Subject: PowerChute a freebsd In-Reply-To: <49F49673.3050801@burgnet.cz> References: <49F02DEC.2070603@keytec.cz> <49F0337E.6000500@obluda.cz> <49F0459C.2050300@kostax.cz> <01b401c9c42f$c1892f30$449b8d90$@org> <0AFDE909-45A3-431A-9C9C-56612389AF71@gmail.com> <49F49673.3050801@burgnet.cz> Message-ID: <49F5417F.3030202@obluda.cz> Zbyn?k Burget wrote: > Miroslav Pr?mek napsal(a): >> Jestli jsem to spravne pochopil, drivejsi kernely UPSku nejak spatne >> rozpoznaly, proto bylo nutne uhid vypnout > Pokud se pamatuju, tak to spis bylo chybou ovladace uhid, ktery si UPSku > "prisvojil" a on se o ni mel starat spravne ugen. No, abychom byli presni - USB rozhrani u APC UPS je tridy UHID. Takze drivejsi kernely UPSku rozpoznaly spravne. Problem je s apcupsd, ktery pres toto rozhrani neumi komunikovat a tak bylo treba ovladac UHID poskodit, aby nektera UHID zarizeni jako UHID nerozeznaval ... > Dnes je tato chyba uz davno opravena. Ano, dnes je tato puvodne chybejici chyba uz davno udelana ;-) Dan From dan at obluda.cz Mon Apr 27 08:50:23 2009 From: dan at obluda.cz (Dan Lukes) Date: Mon, 27 Apr 2009 08:50:23 +0200 Subject: IPFW pravidlo fwd In-Reply-To: <49F49CBF.6020206@burgnet.cz> References: <49F49CBF.6020206@burgnet.cz> Message-ID: <49F555AF.1050607@obluda.cz> Zbyn?k Burget wrote: > Zkousel jsem jeste jednu variantu, ze jsem si webovy provoz od > testovaciho stroje v ipfw "skipnul" do samostatneho kousicku, kde jsem > pak pouzil vseobecne forwardovaci pravidlo. To fungovalo spolehlive. > Takze mne zarazi, kde je vlastne rozdil mezi tim pravidlem pro jeden > jediny testovaci stroj a pravidlem vseobecnym. Mas pomerne slozity firewall, ktery jsme my nevideli. Nevim ani, treba, jakych vsech pakety se tyka "vseobecne forwardovaci pravidlo". A nekde patrne delas chybu, coz je nakonec duvod dotazu. Ale my nevime kde. Neznamy slozity firewal s chybou kdesi v nem, to jsou desitky moznosti. Obavam se, ze neni sance ti smysluplne poradit. Paket prochazi firewallem vicekrat - staci, aby neprosel spravne v kteremkoliv pruchodu. Zretelne to do funkcniho stavu dostat dokazes. Takze mas z ceho vyjit. V tomto stavu pakety neprochazeji tim mistem, ktere je jinak zablokuje. Postupnymi drobnymi zmenami mezi funkcnim a zadoucim (lec nefunkcnim) stavem najdes bod, kdy to prestava fungovat. A tim budes mit problem nalezen. Zkouset to na produkcni siti je sice trochu nestastne, ale asi nemas jinou moznost. Ja bych se zakazniky komunikoval mailem na na redirektovani stranek se zcela vykaslal. > funguju, v druhem pripade squid tvdri, ze access denied A kdy SQUID hlasi access denied ? Ja predpokladam, ze tehdy, kdyz mu tento HTTP navratovy kod (tusim, ze to je 403) vrati next-server a nebo pokud pozadavek neni dovoleno obslouzit z hlediska nastaveni toho SQUIDu. A mozna take, kdyz se pokusi odeslat paket jadru a dozvi se EACCESS za coz muze firewall. Az budes vedet ktera z tech moznosti to je, budes zase o kousek dal ... Dan From zkolarik at miastudio.cz Mon Apr 27 09:15:52 2009 From: zkolarik at miastudio.cz (=?UTF-8?B?WmRlbsSbayBLb2xhxZnDrWs=?=) Date: Mon, 27 Apr 2009 09:15:52 +0200 Subject: IPFW pravidlo fwd In-Reply-To: <49F49CBF.6020206@burgnet.cz> References: <49F49CBF.6020206@burgnet.cz> Message-ID: <49F55BA8.5020301@miastudio.cz> Zbyn?k Burget napsal(a): > v ipfw mam pravidlo, kterym si forwarduju profoz na port 80 na > 127.0.0.1:2138 Squid by mohl pro transparentni provoz naslouchat na rozhrani do vnitrni site, napr: http_port 10.200.10.1:3128 transparent Potom je pravidlo fwd v nejjednodudssi variante nejak takto: ipfw add XXXX fwd ${iip},3128 tcp from any to any dst-port 80 -- Zden?k From prosa at pro.sk Mon Apr 27 09:44:34 2009 From: prosa at pro.sk (Peter Rosa) Date: Mon, 27 Apr 2009 09:44:34 +0200 Subject: IPFW pravidlo fwd In-Reply-To: <49F55BA8.5020301@miastudio.cz> References: <49F49CBF.6020206@burgnet.cz> <49F55BA8.5020301@miastudio.cz> Message-ID: <49F56262.7050603@pro.sk> Zdravim, >> v ipfw mam pravidlo, kterym si forwarduju profoz na port 80 na >> 127.0.0.1:2138 > Squid by mohl pro transparentni provoz naslouchat na rozhrani do vnitrni > site, napr: http_port 10.200.10.1:3128 transparent > > Potom je pravidlo fwd v nejjednodudssi variante nejak takto: > ipfw add XXXX fwd ${iip},3128 tcp from any to any dst-port 80 > este ti mozno usetrim trochu badania; toto fwd pravidlo musis dat PRED vsetky keep-state, check-state a divert pravidla. -- Peter Rosa From zburget at burgnet.cz Mon Apr 27 13:17:00 2009 From: zburget at burgnet.cz (=?UTF-8?B?WmJ5bsSbayBCdXJnZXQ=?=) Date: Mon, 27 Apr 2009 13:17:00 +0200 Subject: IPFW pravidlo fwd In-Reply-To: <49F49CBF.6020206@burgnet.cz> References: <49F49CBF.6020206@burgnet.cz> Message-ID: <49F5942C.9030001@burgnet.cz> Takze, hlasim, ze vyreseno Zbyn?k Burget napsal(a): > 1) Pokud dam forwardovaci pravidlo do vetve recv iif, k forwardnuti > packetu sice dojde, ale na squid uz forwardnuty packet nedorazi (v > zadnem logu squida neni zadny zaznam) - jen se zapocitaji sva packety na > forwardovacim pravidle. Rozchodil jsem na prichozi strane vnitrniho interface. Pokud se budete ptat, kde byla chyba, musim odpovedet, ze nevim. Vcera to proste nejelo, vyspal jsem se na to a dnes to jede... > 2) Forwardovaci pravidlo umistene do vetve xmit oif: > a) Pokud je pravidlo urcene pouze pro provoz z meho testovaciho stroje, > pak vse funguje, jak ma. > ipfw add XXXX fwd 127.0.0.1,3128 all from A.B.C.D to any 80 > > 2b) Pokud je pravidlo napsano obecne, dostanu ve webovem prohlizeci > hlasku o Access denied (?!) Tento stav nemuzu nechavat nijak dlouho > (typicky pouze par sekund nekdy v noci), protoze je testovano za ostreho > provozu. > ipfw add XXXX fwd 127.0.0.1,3128 all from any to anz 80 > Tyto dve varianty jsem pak uz vubec neresil, resit ani nehodlam (pokud mi to bude fungovat tak, jak je to ted... Co jsem si ovsem neuvedomil je, ze stejne nemuzu transparentni proxy pouzit pro stanice s verejnymi adresami, takze prozatim zkusim, jestli usetrim nejakou kapacitu linky cachovanim http provozu od klientu s privatnimi rozsahy... Zbynek From zburget at burgnet.cz Mon Apr 27 13:23:14 2009 From: zburget at burgnet.cz (=?UTF-8?B?WmJ5bsSbayBCdXJnZXQ=?=) Date: Mon, 27 Apr 2009 13:23:14 +0200 Subject: IPFW pravidlo fwd In-Reply-To: <49F555AF.1050607@obluda.cz> References: <49F49CBF.6020206@burgnet.cz> <49F555AF.1050607@obluda.cz> Message-ID: <49F595A2.3020207@burgnet.cz> Dan Lukes napsal(a): > Zkouset to na produkcni siti je sice trochu nestastne, ale asi nemas > jinou moznost. Ja bych se zakazniky komunikoval mailem na na > redirektovani stranek se zcela vykaslal. No, bohuzel neznam e-maily vsech zakazniku a u tech "starsich" uz treba nefunguji ani ty, co znam... Bohuzel nekdy je odriznuti od site jedinou moznosti, jak lidi donutit k tomu, aby resili jejich problem. Klasicky pripad je, ze zavolam zakaznikovi, ze ma zavirovany pocitac a dela mi to bordel po siti, odpoved zni, ze pocitac zavirovany urcite nema, protoze si ho kazdy den projizdi pomoci AVG. V horsim pripade si zakaznik navic mysli, ze se z nej snazim vytahnout prachy tim, ze mu jeho zarucene zdravy PC budu chtit odvirovavat... Proto bych rad vyrobil neco, co zakaznikum hodi na obrazovku informaci o tom, ze je jejich stroj napr. zavirovany. Toho se kazdy lekne a bude tomu verit, protoze jim to rekl "jejich vlastni pocitac" a ne nekdo po telefonu (takova je bohuzel realita). A soucasne bych takto mohl upozornit nekoho, kdo napr. neco dluzi. Mam odzkouseno, ze takoveto veci zabiraji psychologicky velice dobre, clovek pak nemusi lidem vyhrozovat odpojenim a podobnymi neprijemnostmi. Zbynek From zburget at burgnet.cz Mon Apr 27 13:27:18 2009 From: zburget at burgnet.cz (=?UTF-8?B?WmJ5bsSbayBCdXJnZXQ=?=) Date: Mon, 27 Apr 2009 13:27:18 +0200 Subject: IPFW pravidlo fwd In-Reply-To: References: <49F49CBF.6020206@burgnet.cz> Message-ID: <49F59696.9040609@burgnet.cz> Josef Hrabec napsal(a): >> P.S.: >> ...a pak jeste jeden dotaz do budoucna, az mi to konecne bude fungovat >> - s jakym redirectorem mate dobre zkusenosti? Budu potrebovat pro >> urcite IP adresy redirectnout webovy provoz na nejakou vyhruznou >> stranku (zakaznikum majicim zavirovany PC a rozesilajicim SPAM, >> pripadne zakaznikum neplaticim apod.). Uplne uzasne by bylo, kdyby se >> dalo i nastavit, ze se nejaka "vyhruzna" stranka ma zobrazovat treba >> jednou denne / kazdou hodinu / kazdych 5 min. / trvale > > Co treba spustit apache s potrebnou strankou a pak bud rucne nebo cronem > nahodit prislusne fwd pravidlo? > Apache mi bezi na trochu jinem stroji a na nem bude par stranek, na ktere bych (alepon obcas) nekoho rad presmeroval. Obycejne pravidlo v IPFW to neresi, protoze na to, abych nekomu vnutil jinou stranku, nez kterou si zada, budu potrebovat zmenit nejen cilovy webserver, ale i obsah komunikace se serverm (jina URL). Zbynek From dan at obluda.cz Mon Apr 27 13:47:14 2009 From: dan at obluda.cz (Dan Lukes) Date: Mon, 27 Apr 2009 13:47:14 +0200 Subject: IPFW pravidlo fwd In-Reply-To: <49F5942C.9030001@burgnet.cz> References: <49F49CBF.6020206@burgnet.cz> <49F5942C.9030001@burgnet.cz> Message-ID: <49F59B42.3060509@obluda.cz> Zbyn?k Burget wrote: > Co jsem si ovsem neuvedomil je, ze stejne nemuzu transparentni proxy > pouzit pro stanice s verejnymi adresami Proc bys nemohl ? Tedy, pokud mas pod kontrolou router, pres ktery ty verejne adresy chodi ... Dan From freebsd at ada-net.cz Mon Apr 27 13:56:09 2009 From: freebsd at ada-net.cz (=?ISO-8859-2?Q?Petr_Bezd=ECk?=) Date: Mon, 27 Apr 2009 13:56:09 +0200 Subject: IPFW pravidlo fwd In-Reply-To: <49F59696.9040609@burgnet.cz> References: <49F49CBF.6020206@burgnet.cz> <49F59696.9040609@burgnet.cz> Message-ID: <49F59D59.9030608@ada-net.cz> Zbyn?k Burget napsal(a): > Apache mi bezi na trochu jinem stroji a na nem bude par stranek, na > ktere bych (alepon obcas) nekoho rad presmeroval. Obycejne pravidlo v > IPFW to neresi, protoze na to, abych nekomu vnutil jinou stranku, nez > kterou si zada, budu potrebovat zmenit nejen cilovy webserver, ale i > obsah komunikace se serverm (jina URL). > Ja tohle resim tak, ze na webserveru mam IP adresu vyhrazenu pro virtualni web-server, na kterym mi bezi stranka, kde se zakaznik docte, proc mu ten internet nejede. Stranka se generuje dynamicky na zaklade zdrojove IP adresy zakaznika a dat z informacniho systemu. Web-server ma upravenu konfiguraci tak, aby pri dotazu na jakekoliv URL vratil tu jednu stranku. Na firewallu pomoci natd prepisuji cilovou adresu na IP adresu viz vyse. Proste pokud je zakaznik blokovan, tak se mu veskery HTTP provoz presmeruje na mnou definovanou stranku, jejiz obsah je dan podle toho, co je v informacnim systemu (dluzi, je zavirovan, ...). Transparentni proxy je na tohle podle me kanon na vrabce. -- Mgr. Petr Bezd?k email: pbezdek at ada-net.cz web: www.ada-net.cz From jojo at matfyz.cz Mon Apr 27 15:08:53 2009 From: jojo at matfyz.cz (Marian Cerny) Date: Mon, 27 Apr 2009 15:08:53 +0200 Subject: Prestahovanie serveru za NAT Message-ID: <49F5AE65.10506@matfyz.cz> Zdravim konferenciu, potrebujem prestahovat z hostingu jeden stary server. Dal by som ho do kancelarii. Ale potreboval by som, aby ten server bol dalej funkcny na starej IP adrese. IP adresu mozem pridelit inemu serveru, ktory zostava v hostingu. V kancelariach mame jednu IP adresu a sme za NATom. Chcel by som poradit, co by na tento ucel bolo najvhodnejsie. Uvazoval som, ze by som medzi routerom R v kancelarii a serverom S, ktory zostane v hostingu a dostane staru IP adresu OLD_IP, urobil nejaky tunel a vsetky pakety, ktore by boli urcene pre OLD_IP forwardoval do tunela a na routeri R smeroval na stary server OLD_S. OLD_S by zostala ako primarna IP adresa OLD_IP a dostal by este novu IP adresu z lokalnej siete (na ktoru by sa smerovali tie pakety). Odchodzie pakety z OLD_S by ani nemuseli byt tlacene cez tunel, ale mohli by sa na routeri R posielat rovno do internetu. Dava to takto zmysel? Da sa na taketo forwardovanie pouzit IPFW? A co by ste odporucili na tunel? IPsec? Este som ziaden takyto zabezpeceny tunel nerobil, ale rad si to nastudujem, ked dostanem dobre odporucanie. Router R aj server S su FreeBSD, OLD_S je Linux. Este som uvazoval, ze by to slo urobit aj tak, ze by sa zo serveru S neforwardovalo ale NATovalo 1:1 na lokalnu IP adresu za tunelom (teda by to bolo obdobne, ale OLD_S by nemal OLD_IP iba lokalnu IP). Tu by ale asi vsetky sluzby nemuseli fungovat, napriklad je tam niekolko pripojeni cez IPsec. Ale mozno by slo tie IPsec pripojenia prestahovat na server S a na OLD_S to smerovat cez tunel. Dakujem za rady. Marian From zburget at burgnet.cz Mon Apr 27 15:43:45 2009 From: zburget at burgnet.cz (=?UTF-8?B?WmJ5bsSbayBCdXJnZXQ=?=) Date: Mon, 27 Apr 2009 15:43:45 +0200 Subject: IPFW pravidlo fwd In-Reply-To: <49F59B42.3060509@obluda.cz> References: <49F49CBF.6020206@burgnet.cz> <49F5942C.9030001@burgnet.cz> <49F59B42.3060509@obluda.cz> Message-ID: <49F5B691.6060107@burgnet.cz> Dan Lukes napsal(a): > Zbyn?k Burget wrote: >> Co jsem si ovsem neuvedomil je, ze stejne nemuzu transparentni proxy >> pouzit pro stanice s verejnymi adresami > > Proc bys nemohl ? Tedy, pokud mas pod kontrolou router, pres ktery ty > verejne adresy chodi ... Nemohl proto, ze v pripade, kdy pujde provoz pres proxy, bude ze squida odchazet se zmenenou zdrojovou IP - a to neni zadouci. Pokud existuje moznost, jak squida nakonfigurovat tak, aby smerem do internetu posilal pozadavky s originalni IP adresou, pak bych musel pouze zajistit, aby se odpovedi zase vracely pres squida (to by problem snad nebyl). A pak by to skutecne byla uplne transparentni proxy. Bohuzel se mi nepodarilo nikde vycist, ze by squid sel dokopat k tomu, aby originalni IP nemenil. Po pravde nepredpokladam, ze by to slo (ale muzu se plest) Zbynek From zburget at burgnet.cz Mon Apr 27 15:49:05 2009 From: zburget at burgnet.cz (=?ISO-8859-2?Q?Zbyn=ECk_Burget?=) Date: Mon, 27 Apr 2009 15:49:05 +0200 Subject: IPFW pravidlo fwd In-Reply-To: <49F59D59.9030608@ada-net.cz> References: <49F49CBF.6020206@burgnet.cz> <49F59696.9040609@burgnet.cz> <49F59D59.9030608@ada-net.cz> Message-ID: <49F5B7D1.9010004@burgnet.cz> Petr Bezd?k napsal(a): > Zbyn?k Burget napsal(a): >> Apache mi bezi na trochu jinem stroji a na nem bude par stranek, na >> ktere bych (alepon obcas) nekoho rad presmeroval. Obycejne pravidlo v >> IPFW to neresi, protoze na to, abych nekomu vnutil jinou stranku, nez >> kterou si zada, budu potrebovat zmenit nejen cilovy webserver, ale i >> obsah komunikace se serverm (jina URL). >> > > Ja tohle resim tak, ze na webserveru mam IP adresu vyhrazenu pro > virtualni web-server, na kterym mi bezi stranka, kde se zakaznik docte, > proc mu ten internet nejede. Stranka se generuje dynamicky na zaklade > zdrojove IP adresy zakaznika a dat z informacniho systemu. Web-server ma > upravenu konfiguraci tak, aby pri dotazu na jakekoliv URL vratil tu > jednu stranku. > > Na firewallu pomoci natd prepisuji cilovou adresu na IP adresu viz vyse. > Proste pokud je zakaznik blokovan, tak se mu veskery HTTP provoz > presmeruje na mnou definovanou stranku, jejiz obsah je dan podle toho, > co je v informacnim systemu (dluzi, je zavirovan, ...). > > Transparentni proxy je na tohle podle me kanon na vrabce. Ja tu transparentni proxy chtel udelat primarne kvuli cachovani provozu - a kdyz uz tam bude, tak bych ji zrovna vyuzil i pro tento ucel. Kdyz uz mam tu konfiguraci takovou, jakou ji mam, prijde mi zbytecne vyplytvat jednu IP na specialni webserver, resici tuhle vec (i kdyz vlastne tady staci privatni IP). opravdu neexistuje realne pouzitelny zpusob, jak vymenit URL v http dotazu? Zbynek From freebsd at ada-net.cz Mon Apr 27 15:58:43 2009 From: freebsd at ada-net.cz (=?ISO-8859-2?Q?Petr_Bezd=ECk?=) Date: Mon, 27 Apr 2009 15:58:43 +0200 Subject: IPFW pravidlo fwd In-Reply-To: <49F5B7D1.9010004@burgnet.cz> References: <49F49CBF.6020206@burgnet.cz> <49F59696.9040609@burgnet.cz> <49F59D59.9030608@ada-net.cz> <49F5B7D1.9010004@burgnet.cz> Message-ID: <49F5BA13.4050304@ada-net.cz> Zbyn?k Burget napsal(a): > Petr Bezd?k napsal(a): >> Zbyn?k Burget napsal(a): >>> Apache mi bezi na trochu jinem stroji a na nem bude par stranek, na >>> ktere bych (alepon obcas) nekoho rad presmeroval. Obycejne pravidlo v >>> IPFW to neresi, protoze na to, abych nekomu vnutil jinou stranku, nez >>> kterou si zada, budu potrebovat zmenit nejen cilovy webserver, ale i >>> obsah komunikace se serverm (jina URL). >>> >> >> Ja tohle resim tak, ze na webserveru mam IP adresu vyhrazenu pro >> virtualni web-server, na kterym mi bezi stranka, kde se zakaznik >> docte, proc mu ten internet nejede. Stranka se generuje dynamicky na >> zaklade zdrojove IP adresy zakaznika a dat z informacniho systemu. >> Web-server ma upravenu konfiguraci tak, aby pri dotazu na jakekoliv >> URL vratil tu jednu stranku. >> >> Na firewallu pomoci natd prepisuji cilovou adresu na IP adresu viz >> vyse. Proste pokud je zakaznik blokovan, tak se mu veskery HTTP provoz >> presmeruje na mnou definovanou stranku, jejiz obsah je dan podle toho, >> co je v informacnim systemu (dluzi, je zavirovan, ...). >> >> Transparentni proxy je na tohle podle me kanon na vrabce. > > Ja tu transparentni proxy chtel udelat primarne kvuli cachovani provozu > - a kdyz uz tam bude, tak bych ji zrovna vyuzil i pro tento ucel. Kdyz > uz mam tu konfiguraci takovou, jakou ji mam, prijde mi zbytecne > vyplytvat jednu IP na specialni webserver, resici tuhle vec (i kdyz > vlastne tady staci privatni IP). > > opravdu neexistuje realne pouzitelny zpusob, jak vymenit URL v http dotazu? > Na squida lze navesit www/squirm - kdysi jsem to pouzival na filtrovani obsahu. Na zaklade regularniho vyrazu umi presmerovat na prednastavene URL. -- Mgr. Petr Bezd?k email: pbezdek at ada-net.cz web: www.ada-net.cz From dan at obluda.cz Mon Apr 27 15:58:11 2009 From: dan at obluda.cz (Dan Lukes) Date: Mon, 27 Apr 2009 15:58:11 +0200 Subject: Prestahovanie serveru za NAT In-Reply-To: <49F5AE65.10506@matfyz.cz> References: <49F5AE65.10506@matfyz.cz> Message-ID: <49F5B9F3.7050901@obluda.cz> Marian Cerny wrote: > potrebujem prestahovat z hostingu jeden stary server. Dal by som ho do > kancelarii. Ale potreboval by som, aby ten server bol dalej funkcny na > starej IP adrese. Jo, to je tak, kdyz nekdo ignoruje dulezitost DNS. Jak snadno by se to delalo, kdyby vsichni pouzivali jmeno - server by dostal novou IP, v DNS by se zmenil zaznam a vetsina lidi by prestehovani vubec nezaznamenala... Jenze, ono udrzovat DNS je zbytecna prace - teda, zbytecna, nez se ukaze, kolik prace by usetrilo, kdyby byla udelana ... ;-) No ja vim, ted uz je ti pozde neco takovyho rikat. I kdyz je to pravda. > IP adresu mozem pridelit inemu serveru, ktory zostava > v hostingu. V kancelariach mame jednu IP adresu a sme za NATom. Jinymi slovy, ty chces puvodni adresu prendat na jiny pocitac, stavajici pocitac kamsi odnest a zajistit, aby pri pristupu na puvodni IP na novem pocitaci dotaz obdrzel stary, prestehovany, pocitac kdesi jinde. > Chcel by som poradit, co by na tento ucel bolo najvhodnejsie. Pojem "server" je dost obecny. Jine reseni ti poradim pro SMTP server, jine pro WWW. Jine pro TCP-only sluzby. > Uvazoval som, ze by som medzi routerom R v kancelarii a serverom S, > ktory zostane v hostingu a dostane staru IP adresu OLD_IP, urobil nejaky > tunel a vsetky pakety, ktore by boli urcene pre OLD_IP forwardoval do > tunela a na routeri R smeroval na stary server OLD_S. > Dava to takto zmysel? Vsechna data potecou pres in-out linku v hostingu dvakrat. Doufam, ze ji mas dost silnou. > Da sa na taketo forwardovanie pouzit IPFW? Ne. > A co by ste odporucili na tunel? > napriklad je tam niekolko pripojeni cez IPsec To je hezke, ze neco tak duleziteho zminis jen tak, mezi reci uplne na konci. Transparentni redirect IPSEC paketu nekam uplne jinam ? Ty pakety musi na cilove misto dorazit nezmenene - to znamena tady zabalit do neceho, tam vybalit - a zpracovat s puvodni IP adresou tak, jako by na novem miste byla lokalni. A na tom starem se za lokalni povazovat nesmi, vyjma toho, ze ten pocitac musi odpovidat na ARP pro tuto IP. Pak by vhodnym nastavenim routivaci tabulky melo byt mozne nacpat prichozi pakety do GIF (IP-in-IP) tunelu. Zaplatis fragmentaci, ale to je popravde receno u takhle nestastneho problemu zanedbatelna cena. Nevim, jak na Linuxu rozchodis aby odpovidal na ARP dotazy pro adresu, ktera mu nepatri, ale "info arp" to pri trose stesti asi prozradi. Stejne tak nevim, jestli jak tam rozchodit IP-in-IP tunel - a jestli tam vubec je (na FreeBSD je to soucast systemu a je to odvozenina RFC2893 IPv6-in-IPv4 tunelu). Pokud tam nebude, potrebujes jiny IP tunel, ktery z hlediska systemu vypada jako interface (to kvuli tomu routovani). Treba PPPoE. Na druhe strane bude zahnani odpovidajicich paketu do tunelu zrejme otazka source-routingu a tudiz asi nejlip ipfw fwd. Zni mi to celkove jako strasna bejkarna. I kdyz to rozchodis, bude takrka nemozne v tom ladit poblemy. Videl's nedavnou debatu na tema IPSEC - to se ladi blbe i za normalnich okolnosti. Ja samozrejme nevim, proc jsi se rozhodnul prave pro takovehle reseni, protoze jsi nenaznacil jaky problem resis. Ale at si predstavim jakykoliv problem, u ktereho by toto mohlo byt resenim, vzdycky bych se pokusil usilovne hledat nejake jine reseni... Dan From dan at obluda.cz Mon Apr 27 16:05:36 2009 From: dan at obluda.cz (Dan Lukes) Date: Mon, 27 Apr 2009 16:05:36 +0200 Subject: IPFW pravidlo fwd In-Reply-To: <49F5B7D1.9010004@burgnet.cz> References: <49F49CBF.6020206@burgnet.cz> <49F59696.9040609@burgnet.cz> <49F59D59.9030608@ada-net.cz> <49F5B7D1.9010004@burgnet.cz> Message-ID: <49F5BBB0.1030001@obluda.cz> Zbyn?k Burget wrote: > Ja tu transparentni proxy chtel udelat primarne kvuli cachovani provozu Tak na to klidne pouzij http://go.microsoft.com/fwlink/?LinkId=31658 Vetsina domacich uzivatelu pouziva stejne MSIE, to je v defaultni instalaci nastaveno na autokonfiguraci a vsichni to tak nechavaji. Jen jim, jak pres DNS tak pres DHCP podsun to autokonfiguracni URL. Ani to nebudou vedet. A tech par lidi, co nepouziva MSIE a tudiz tam autokonfiguraci sice casto taky maji, ale defaultne vypnutou, spolecne s tema par co si autokonfiguraci v MSIE vypnou - ty proste cache nezachyti. Nebude jich zas tolik aby bylo nutne podstupovat potize s transparentni proxy. A vysledne reseni bude daleko snazsi a tudiz udrzovatelnejsi a spolehlivejsi. Dan From dan at obluda.cz Mon Apr 27 16:12:05 2009 From: dan at obluda.cz (Dan Lukes) Date: Mon, 27 Apr 2009 16:12:05 +0200 Subject: IPFW pravidlo fwd In-Reply-To: <49F5B691.6060107@burgnet.cz> References: <49F49CBF.6020206@burgnet.cz> <49F5942C.9030001@burgnet.cz> <49F59B42.3060509@obluda.cz> <49F5B691.6060107@burgnet.cz> Message-ID: <49F5BD35.6080603@obluda.cz> Zbyn?k Burget wrote: >>> Co jsem si ovsem neuvedomil je, ze stejne nemuzu transparentni proxy >>> pouzit pro stanice s verejnymi adresami >> Proc bys nemohl ? > Nemohl proto, ze v pripade, kdy pujde provoz pres proxy, bude ze squida > odchazet se zmenenou zdrojovou IP - a to neni zadouci. Ja predpokladal, ze to resis proto, abys jim mohl zobrazit tu hlasku "neplatis, nic nedostanes". Takze by nic ven nechodilo. Ale jinak - at transparentni nebo netransparentni proxy, smerem ven skutecne budes komunikovat z adresy te proxy. Jestli to tohle vadi, apk na myslenku proxy zcela zapomen. Otazka je, proc by ti to melo vadit, kdyz u jinych (prekladanych) adres ti to nevadi. Dan From freebsdcz2 at jozef.drahovsky.sk Mon Apr 27 16:17:26 2009 From: freebsdcz2 at jozef.drahovsky.sk (Jozef Drahovsky) Date: Mon, 27 Apr 2009 16:17:26 +0200 Subject: FreeBSD na minipocitaci bez disku a ventilarota Message-ID: <49F5BE76.3050409@jozef.drahovsky.sk> Potrebujem spravit ruter s webom/php5 perl a blbostmi ako DHPC, DNS, NTP, NAT/PAT atd na energeticky nenarocnom pocitaci pre 24/7, ale aby stihal rutovat aspon 20 Mbps. Idem vyskusat/objednat TC-261LDX mini, 1x CF, 1x SD,1GHz, 2x LAN, fanless, 256MB http://www.asm.cz/zbozi/tc-261ldx-mini-1x-cf-1x-sd1ghz-2x-lan-fanless-256mb.html Otazka do plena, ma niekto skusenost s FreeBSD na takomto HW, respektive nejakom podobnym? Jozef From mk7ygre33apsq23c at foo.sk Mon Apr 27 16:32:27 2009 From: mk7ygre33apsq23c at foo.sk (Richard Willmann) Date: Mon, 27 Apr 2009 16:32:27 +0200 Subject: Request Tracker References: <49F5BE76.3050409@jozef.drahovsky.sk> Message-ID: <163F0D8FB49C490F83C877664581AA1C@rwillmannhome> Pozdravujem pani, prosim, najde sa v konferencii niekto, kto ma naimplementovany Request Tracker od Best Practical? pekny den rwi From zburget at burgnet.cz Mon Apr 27 17:16:58 2009 From: zburget at burgnet.cz (=?UTF-8?B?WmJ5bsSbayBCdXJnZXQ=?=) Date: Mon, 27 Apr 2009 17:16:58 +0200 Subject: Prestahovanie serveru za NAT In-Reply-To: <49F5AE65.10506@matfyz.cz> References: <49F5AE65.10506@matfyz.cz> Message-ID: <49F5CC6A.40401@burgnet.cz> Marian Cerny napsal(a): > Zdravim konferenciu, > > potrebujem prestahovat z hostingu jeden stary server. Dal by som ho do > kancelarii. Ale potreboval by som, aby ten server bol dalej funkcny na > starej IP adrese. IP adresu mozem pridelit inemu serveru, ktory zostava > v hostingu. V kancelariach mame jednu IP adresu a sme za NATom. > Zdravim rovnez - moje rada ted nebude mit naprosto zadnou souvislost s tim, ze si zrovna hraju se squidem, ale nebylo by nejrozumnejsi reseni na tu starou IP (at uz bude vrznuta na jakykoli stoj) povesit squid, ktery bude veskery provoz presmerovavat na IP, kterou mas v kancelari a tam pomoci NATu zajistit, aby packet dosel na prislusny stroj uvnitr site? Zbynek From filip.huska at coolhousing.net Mon Apr 27 17:20:50 2009 From: filip.huska at coolhousing.net (Filip Huska) Date: Mon, 27 Apr 2009 17:20:50 +0200 Subject: Request Tracker In-Reply-To: <163F0D8FB49C490F83C877664581AA1C@rwillmannhome> References: <49F5BE76.3050409@jozef.drahovsky.sk> <163F0D8FB49C490F83C877664581AA1C@rwillmannhome> Message-ID: <49F5CD52.1040001@coolhousing.net> DD, rt 3 ;-) Ale na linuxu, ovsem platforme je to zcela sumak ... co by jste potreboval ? f. Richard Willmann wrote: > Pozdravujem pani, > > prosim, najde sa v konferencii niekto, kto ma naimplementovany Request > Tracker od Best Practical? > > pekny den > > rwi > -- > FreeBSD mailing list (users-l at freebsd.cz) > http://www.freebsd.cz/listserv/listinfo/users-l > From zburget at burgnet.cz Mon Apr 27 17:24:26 2009 From: zburget at burgnet.cz (=?UTF-8?B?WmJ5bsSbayBCdXJnZXQ=?=) Date: Mon, 27 Apr 2009 17:24:26 +0200 Subject: IPFW pravidlo fwd In-Reply-To: <49F5BD35.6080603@obluda.cz> References: <49F49CBF.6020206@burgnet.cz> <49F5942C.9030001@burgnet.cz> <49F59B42.3060509@obluda.cz> <49F5B691.6060107@burgnet.cz> <49F5BD35.6080603@obluda.cz> Message-ID: <49F5CE2A.5020606@burgnet.cz> Dan Lukes napsal(a): > Zbyn?k Burget wrote: >>>> Co jsem si ovsem neuvedomil je, ze stejne nemuzu transparentni proxy >>>> pouzit pro stanice s verejnymi adresami > >>> Proc bys nemohl ? > >> Nemohl proto, ze v pripade, kdy pujde provoz pres proxy, bude ze >> squida odchazet se zmenenou zdrojovou IP - a to neni zadouci. > > Ja predpokladal, ze to resis proto, abys jim mohl zobrazit tu hlasku > "neplatis, nic nedostanes". Takze by nic ven nechodilo. Transparentni proxy resim ze dvou duvodu - cache provozu (predpokladam nejakou usporu trafficu na lince). To, ze to muzu mimo to jeste pouzit pro podstrceni nejake hlasky, beru jako hezky vedlejsi produkt. > > Ale jinak - at transparentni nebo netransparentni proxy, smerem ven > skutecne budes komunikovat z adresy te proxy. Jestli to tohle vadi, apk > na myslenku proxy zcela zapomen. Otazka je, proc by ti to melo vadit, > kdyz u jinych (prekladanych) adres ti to nevadi. Pokud nekdo ma adresu verejnou, mel by ji mit bez nejakych dalsich zasahu - asi by mne ukamenovali zakaznici, kteri maji verejnou IP jen proto, aby mohli pohodlnej stahovat ruzne veci z Rapidshare apod. Tim, ze bych je nacpal do proxy bych jim tu vyhodu vzal. U prekladanych adres je tohle jedno, protoze tam jsou vsichni za to adresou NATu tak, jako tak. Zbynek From freebsd-users-l at wilbury.sk Mon Apr 27 17:30:10 2009 From: freebsd-users-l at wilbury.sk (Juraj Lutter) Date: Mon, 27 Apr 2009 17:30:10 +0200 Subject: Prestahovanie serveru za NAT In-Reply-To: <49F5CC6A.40401@burgnet.cz> References: <49F5AE65.10506@matfyz.cz> <49F5CC6A.40401@burgnet.cz> Message-ID: <49F5CF82.1020607@wilbury.sk> Zbyn?k Burget wrote: > Zdravim rovnez - moje rada ted nebude mit naprosto zadnou souvislost s > tim, ze si zrovna hraju se squidem, ale nebylo by nejrozumnejsi reseni > na tu starou IP (at uz bude vrznuta na jakykoli stoj) povesit squid, > ktery bude veskery provoz presmerovavat na IP, kterou mas v kancelari a > tam pomoci NATu zajistit, aby packet dosel na prislusny stroj uvnitr site? IP tunel + binat cez pf. j. -- Juraj Lutter | /\ ASCII Ribbon Campaign otis (at) wilbury (dot) sk | \/ - NO HTML/RTF in e-mail http://www.wilbury.sk/ | /\ - NO Word docs in e-mail JID: otis (at) jabber (dot) vx (dot) sk !07/11 PDP a ni deppart m'I !pleH From zburget at burgnet.cz Mon Apr 27 17:33:31 2009 From: zburget at burgnet.cz (=?UTF-8?B?WmJ5bsSbayBCdXJnZXQ=?=) Date: Mon, 27 Apr 2009 17:33:31 +0200 Subject: FreeBSD na minipocitaci bez disku a ventilarota In-Reply-To: <49F5BE76.3050409@jozef.drahovsky.sk> References: <49F5BE76.3050409@jozef.drahovsky.sk> Message-ID: <49F5D04B.9050309@burgnet.cz> Jozef Drahovsky napsal(a): > Potrebujem spravit ruter s webom/php5 perl a blbostmi ako DHPC, DNS, > NTP, NAT/PAT atd > na energeticky nenarocnom pocitaci pre 24/7, ale aby stihal rutovat > aspon 20 Mbps. > Idem vyskusat/objednat TC-261LDX mini, 1x CF, 1x SD,1GHz, 2x LAN, > fanless, 256MB > http://www.asm.cz/zbozi/tc-261ldx-mini-1x-cf-1x-sd1ghz-2x-lan-fanless-256mb.html Ahoj, nejsem si jisty tim, jestli je to stastna volba, s ohledem na to, ze tam vidim tu zkratku NAT. Ja v dobe, kdy tok do site byl prave neco kolem tech 20 mbit, jsem musel odstavit router, ve kterem byl celeron 2,4 GHz, protoze vytizeni CPU bylo ve spickach opravdu uz neunosne. A uz nejakou chvili pred tim jsem musel puvodnich 256 MB RAM rozsirit o dalsich 512, protoze prave zminovany NAT zral vsechno, co kde zbyvalo volneho. Na druhou stranu, dnes, kdy mam na tom routeru Core2 duo na 1.86 GHz a 1 GB RAM, ta masinka nevi, ze CPU neco dela, i kdyz pres nej tece ve spickach pres 40 mbit. DNS, DHCP, NTP - to pobezi i na 486, web je kapitola sama pro sebe - tam zalezi na tom, jaka tam bude navstevnost, co se tam bude dit, jak moc pocitani budes chtit po PHP apod. Zbynek From 000.fbsd at quip.cz Mon Apr 27 17:36:01 2009 From: 000.fbsd at quip.cz (Miroslav Lachman) Date: Mon, 27 Apr 2009 17:36:01 +0200 Subject: FreeBSD na minipocitaci bez disku a ventilarota In-Reply-To: <49F5BE76.3050409@jozef.drahovsky.sk> References: <49F5BE76.3050409@jozef.drahovsky.sk> Message-ID: <49F5D0E1.8030109@quip.cz> Jozef Drahovsky wrote: > Potrebujem spravit ruter s webom/php5 perl a blbostmi ako DHPC, DNS, > NTP, NAT/PAT atd > na energeticky nenarocnom pocitaci pre 24/7, ale aby stihal rutovat > aspon 20 Mbps. > Idem vyskusat/objednat TC-261LDX mini, 1x CF, 1x SD,1GHz, 2x LAN, > fanless, 256MB > http://www.asm.cz/zbozi/tc-261ldx-mini-1x-cf-1x-sd1ghz-2x-lan-fanless-256mb.html > > > Otazka do plena, ma niekto skusenost s FreeBSD na takomto HW, respektive > nejakom podobnym? Pokud na tom to FreeBSD bude fungovat (ovladace pro zarizeni, ktera to obsahuje), tak vykonove to dle meho soudu nebude problem. Sveho casu jsem pro jeste vetsi mnozstvi sluzeb pouzival AMD166mmx ;) Mirek From valin at buchlovice.org Tue Apr 28 08:53:39 2009 From: valin at buchlovice.org (vaLin) Date: Tue, 28 Apr 2009 08:53:39 +0200 Subject: Request Tracker In-Reply-To: <49F5CD52.1040001@coolhousing.net> References: <49F5BE76.3050409@jozef.drahovsky.sk> <163F0D8FB49C490F83C877664581AA1C@rwillmannhome> <49F5CD52.1040001@coolhousing.net> Message-ID: <49F6A7F3.2040005@buchlovice.org> Zdravim, taktez pouzivame ve firme RT 3 (na FreeBSD) vaLin Filip Huska wrote: > DD, > rt 3 ;-) Ale na linuxu, ovsem platforme je to zcela sumak ... co by > jste potreboval ? > f. > > > > Richard Willmann wrote: >> Pozdravujem pani, >> >> prosim, najde sa v konferencii niekto, kto ma naimplementovany >> Request Tracker od Best Practical? >> >> pekny den >> >> rwi >> -- >> FreeBSD mailing list (users-l at freebsd.cz) >> http://www.freebsd.cz/listserv/listinfo/users-l >> > > -- > FreeBSD mailing list (users-l at freebsd.cz) > http://www.freebsd.cz/listserv/listinfo/users-l From milan at toth-online.com Tue Apr 28 02:44:45 2009 From: milan at toth-online.com (Toth Milan) Date: Tue, 28 Apr 2009 08:44:45 +0800 Subject: Request Tracker In-Reply-To: <163F0D8FB49C490F83C877664581AA1C@rwillmannhome> References: <49F5BE76.3050409@jozef.drahovsky.sk> <163F0D8FB49C490F83C877664581AA1C@rwillmannhome> Message-ID: <3A19DF59-789B-4BCE-B0FF-129EC336F6A0@toth-online.com> On Apr 27, 2009, at 10:32 PM, Richard Willmann wrote: > Pozdravujem pani, Pozdravujem, > prosim, najde sa v konferencii niekto, kto ma naimplementovany > Request Tracker od Best Practical? bezi mi to na FreeBSD uz 2 - 3 rocky, presiel som si cez upgrady a male upravy kodu. > pekny den > > rwi -- Milan Toth http://toth-online.com From jojo at matfyz.cz Mon Apr 27 20:27:22 2009 From: jojo at matfyz.cz (Marian Cerny) Date: Mon, 27 Apr 2009 20:27:22 +0200 Subject: Prestahovanie serveru za NAT In-Reply-To: <49F5B9F3.7050901@obluda.cz> References: <49F5AE65.10506@matfyz.cz> <49F5B9F3.7050901@obluda.cz> Message-ID: <49F5F90A.6000606@matfyz.cz> On 27.4.2009 15:58, Dan Lukes wrote: >> IP adresu mozem pridelit inemu serveru, ktory zostava v hostingu. V >> kancelariach mame jednu IP adresu a sme za NATom. > > Jinymi slovy, ty chces puvodni adresu prendat na jiny pocitac, > stavajici pocitac kamsi odnest a zajistit, aby pri pristupu na puvodni > IP na novem pocitaci dotaz obdrzel stary, prestehovany, pocitac kdesi > jinde. Ano, je to presne tak. Vysvetlim trosku pozadie. Mame niekolko serverov. Jeden z tych serverov je stary Linuxovy server (ostatne su FreeBSD). Ten linuxovy server som zdedil - ani presne neviem, co vsetko na nom bezi ;-). Ako jedno z protikrizovych opatreni sa firma rozhodla zrusit nejaky server ;-). Dlho som nevahal, ze ktory. Vecsinu dolezitych sluzieb som premigroval ale zostalo tam par, ktore nepojde premigrovat tak jednoducho - naklady na migrovanie by boli mnoho krat vyssie nez je zisk z danych sluzieb. Bohuzial tie sluzby len tak zrusit nemozeme. Napadol ma teda diabolsky plan, ze ten server z hostingu premiestnim do kancelarii. Myslienka bola taka, ze "vezmem vsetky IP pakety pre dany server, nejakym sposobom ich prepravim do kancelarie a tam ich hodim tomu serveru". Trafficu nie je vela, takze s kapacitou linky nebude problem. Ale nejde iba o nejake TCP sluzby (napr. http server), tie by som si dokazal jednoducho presmerovat. Potreboval by som to urobit co najviac transparentne, napriklad prave aj kvoli tomu IPsecu. Proste idealne aby na tom Linuxovom serveri nebolo potrebne menit skoro ziadnu konfiguraciu. Konkretnejsie som si to predstavoval takto: 1. Poziadam hosting, aby mi nastavili staticke smerovanie starej IP adresy Linuxoveho serveru na FreeBSD server - to ale asi nebude mozne. Da sa to zariadit aj inac? Napriklad cez ARP? Aby vsetky pakety pre staru IP adresu dostaval FreeBSD server, ale aby ich dalej routoval? 2. Medzi FreeBSD serverom a FreeBSD routerom v kancelarii rozbeham nejaky tunel. Ten tunel by na jednom konci mal lokalnu adresu napr. 10.0.0.1 a na druhom 10.0.0.2. 3. Na FreeBSD serveri nastavim staticke smerovanie starej IP adresy na 10.0.0.2. 4. Na FreeBSD routeri pridam IP adresu o jedna mensiu nez staru IP adresu Linuxoveho serveru s co najmensou maskou... ze tym nebudu dosiahnutelne nejake IP adresy nevadi, jedna sa o backendovy stroj ktory aj tak komunikuje iba s par vybranymi servermi. 5. Na Linuxovom serveri nastavim default router staru IP adresu o jednotku nizsiu. 6. Nejakym sposobom pakety z IP adresy Linuxoveho serveru na FreeBSD routeri poslem zase tunelom na 10.0.0.1. (Uz viem, ze sa zrejme bude jednat o source-routing. Ten ipfw fwd si k tomu nastudujem.) 7. Na FreeBSD serveri sa pakety budu dalej smerovat klasicky na default router. Dava to takto zmysel? Alebo je tam nieco, co takto principialne nepojde urobit? Asi moze byt problem s tunelom, teda konkretne asi s IPsec-om. Myslel som, ze sa mi podari zabalit IPsec do IPsec-u... ale to mozno nejde. Samozrejme musim poriesit 1. aby sa to dalo smerovat. Ak by to neslo, tak by som musel na FreeBSD serveri staru IP adresu nahodit na rozhranie a potom to riesit nejako inac, len presne neviem ako (napriklad binatom, lenze to by sa musela menit konfiguracia na Linuxovom serveri). >> napriklad je tam niekolko pripojeni cez IPsec > > To je hezke, ze neco tak duleziteho zminis jen tak, mezi reci uplne na > konci. Heh, sorry. > Transparentni redirect IPSEC paketu nekam uplne jinam ? Ty pakety musi > na cilove misto dorazit nezmenene - to znamena tady zabalit do neceho, > tam vybalit - a zpracovat s puvodni IP adresou tak, jako by na novem > miste byla lokalni. A na tom starem se za lokalni povazovat nesmi, > vyjma toho, ze ten pocitac musi odpovidat na ARP pro tuto IP. Pak by > vhodnym nastavenim routivaci tabulky melo byt mozne nacpat prichozi > pakety do GIF (IP-in-IP) tunelu. Zaplatis fragmentaci, ale to je > popravde receno u takhle nestastneho problemu zanedbatelna cena. Ako sa takyto GIF tunel vytvori? Mozes ma odkazat na nejaku vhodnu dokumentaciu? > Nevim, jak na Linuxu rozchodis aby odpovidal na ARP dotazy pro adresu, > ktera mu nepatri, ale "info arp" to pri trose stesti asi prozradi. > Stejne tak nevim, jestli jak tam rozchodit IP-in-IP tunel - a jestli > tam vubec je (na FreeBSD je to soucast systemu a je to odvozenina > RFC2893 IPv6-in-IPv4 tunelu). Pokud tam nebude, potrebujes jiny IP > tunel, ktery z hlediska systemu vypada jako interface (to kvuli tomu > routovani). Treba PPPoE. > > Na druhe strane bude zahnani odpovidajicich paketu do tunelu zrejme > otazka source-routingu a tudiz asi nejlip ipfw fwd. > > Zni mi to celkove jako strasna bejkarna. I kdyz to rozchodis, bude > takrka nemozne v tom ladit poblemy. Videl's nedavnou debatu na tema > IPSEC - to se ladi blbe i za normalnich okolnosti. Ja samozrejme > nevim, proc jsi se rozhodnul prave pro takovehle reseni, protoze jsi > nenaznacil jaky problem resis. Ale at si predstavim jakykoliv problem, > u ktereho by toto mohlo byt resenim, vzdycky bych se pokusil usilovne > hledat nejake jine reseni... Bejkarna to samozrejme je ;-). Dufam, ze sa este nejake sluzby podari premigrovat a ostatne vyhniju skor nez za par rokov. Kazdopadne Dane dakujem velmi pekne za odpoved. Marian From jan at dusatko.org Mon Apr 27 18:11:24 2009 From: jan at dusatko.org (=?windows-1250?B?RHWa4XRrbyBKYW4=?=) Date: Mon, 27 Apr 2009 18:11:24 +0200 Subject: FreeBSD na minipocitaci bez disku a ventilarota In-Reply-To: <49F5BE76.3050409@jozef.drahovsky.sk> References: <49F5BE76.3050409@jozef.drahovsky.sk> Message-ID: <004701c9c752$cfd57b90$6f8072b0$@org> > Potrebujem spravit ruter s webom/php5 perl a blbostmi ako DHPC, DNS, > NTP, NAT/PAT atd > na energeticky nenarocnom pocitaci pre 24/7, ale aby stihal rutovat > aspon 20 Mbps. > Idem vyskusat/objednat TC-261LDX mini, 1x CF, 1x SD,1GHz, 2x LAN, > fanless, 256MB > http://www.asm.cz/zbozi/tc-261ldx-mini-1x-cf-1x-sd1ghz-2x-lan-fanless- > 256mb.html > > Otazka do plena, ma niekto skusenost s FreeBSD na takomto HW, > respektive > nejakom podobnym? > > Jozef Je to trochu od veci, ale zkusenost: Kdysi jsem delal neco podobneho na microATX a nanoATX motherboardech. Intel microATX jsou zde http://www.intel.com/products/desktop/motherboard/index.htm?iid=desk_nav+boa rd, bohuzel momentalne podpoduji CPU na bazi DualCore (vysoky kmitocet a topi). Hledam kdo momentalne v Cechach prodava nanoATX s chipsetem od Intelu, tenkrat jsem mel problemy s VIA a tak uz nanoATX/VIA nesmi do domu. Deska mela ICH7, dve sitovky, Pentium4M a 512MB RAM. Pouzil jsem dva 20GB notebook disky pres integrovany IDE RAID, dnes bych tam uz radeji dal Intel SSD. Melo to pouze pasivni chlazeni, ale CPU jsem vybiral podle spotreby, ne podle vykonu. Je to pod strechou, potesilo mne kdyz to tam prezilo teploty okolo 50C a v zime -10. Na VIA chipsetu jsem mel problem se sitovymi kartami a internim radicem (kvuli RAID 1). Na Intel chipsetu jsem tento problem nemel, ale je to pouze otazka jak se clovek strefi. Honza From dan at obluda.cz Wed Apr 29 07:35:51 2009 From: dan at obluda.cz (Dan Lukes) Date: Wed, 29 Apr 2009 07:35:51 +0200 Subject: Prestahovanie serveru za NAT In-Reply-To: <49F5F90A.6000606@matfyz.cz> References: <49F5AE65.10506@matfyz.cz> <49F5B9F3.7050901@obluda.cz> <49F5F90A.6000606@matfyz.cz> Message-ID: <49F7E737.2040407@obluda.cz> > Vecsinu dolezitych sluzieb som premigroval ale zostalo tam par, ktore nepojde premigrovat tak jednoducho - naklady na migrovanie by boli mnoho krat vyssie nez je zisk z danych sluzieb. Skutecne je presunuti sluzeb z toho Linuxu na nejaky server, ktery v hostingu zustava pracnejsi, nez ta hruza s presouvanim IP adresy nekam uplne jinam ? Se vsemi budoucimi pripadnymi problemy a jejich podstatne slozitejsim ladeni a reseni ? Zni mi to dost nepravdepodobne. Podle me je to, zejmena z dlouhodobejsiho hlediska, v porovnani s presunutim na jiny stroj spise drahe reseni. >> Jinymi slovy, ty chces puvodni adresu prendat na jiny pocitac, >> stavajici pocitac kamsi odnest a zajistit, aby pri pristupu na puvodni >> IP na novem pocitaci dotaz obdrzel stary, prestehovany, pocitac kdesi >> jinde. > 1. Poziadam hosting, aby mi nastavili staticke smerovanie starej IP > adresy Linuxoveho serveru na FreeBSD server - to ale asi nebude mozne. > Da sa to zariadit aj inac? Napriklad cez ARP? Aby vsetky pakety pre > staru IP adresu dostaval FreeBSD server, ale aby ich dalej routoval? Predpokladam, ze ty dva stroje jsou ve stejne siti - ano, pak je resenim ARP. V manualu od ARP hledej klicove slovo "pub". > 2. Medzi FreeBSD serverom a FreeBSD routerom v kancelarii rozbeham > nejaky tunel. Ten tunel by na jednom konci mal lokalnu adresu napr. > 10.0.0.1 a na druhom 10.0.0.2. > 3. Na FreeBSD serveri nastavim staticke smerovanie starej IP adresy na > 10.0.0.2. > 4. Na FreeBSD routeri pridam IP adresu o jedna mensiu nez staru IP > adresu Linuxoveho serveru s co najmensou maskou... ze tym nebudu > dosiahnutelne nejake IP adresy nevadi, jedna sa o backendovy stroj ktory > aj tak komunikuje iba s par vybranymi servermi. Nejmensi rozumne pouzitelna maska je /30 - ale to jakou masku a jakou IP pro router budes moct pouzit plyne ze skutecne soucasne ciselne hodnoty IP. > 5. Na Linuxovom serveri nastavim default router staru IP adresu o > jednotku nizsiu. > 6. Nejakym sposobom pakety z IP adresy Linuxoveho serveru na FreeBSD > routeri poslem zase tunelom na 10.0.0.1. (Uz viem, ze sa zrejme bude > jednat o source-routing. Ten ipfw fwd si k tomu nastudujem.) > 7. Na FreeBSD serveri sa pakety budu dalej smerovat klasicky na default > router. > > Dava to takto zmysel? Alebo je tam nieco, co takto principialne nepojde > urobit? Zni to jako neco, co by teoreticky fungovat mohlo. Pokud jsem neco neprehledl. Jake prakticke problemy se objevi az to zkusis si netroufam odhadnout. A na otazku, jestli to cele ma smysl bych se radsi zdrzel odpovedi ;-) > Ako sa takyto GIF tunel vytvori? Mozes ma odkazat na nejaku vhodnu > dokumentaciu? O manualovych strankach uz jsi slysel ? ;-) Tak "man gif". No a je to sitovy interface, takze asi i "man ifconfig" a nem koukat po "gif". Dan From david.pasek at gmail.com Wed Apr 29 18:06:42 2009 From: david.pasek at gmail.com (David Pasek) Date: Wed, 29 Apr 2009 18:06:42 +0200 Subject: FreeBSD na minipocitaci bez disku a ventilarota In-Reply-To: <49F5BE76.3050409@jozef.drahovsky.sk> References: <49F5BE76.3050409@jozef.drahovsky.sk> Message-ID: <2ec8f53f0904290906m5df4528cy616ba415d6d73746@mail.gmail.com> Ahoj, On Mon, Apr 27, 2009 at 4:17 PM, Jozef Drahovsky wrote: > Potrebujem spravit ruter s webom/php5 perl ?a blbostmi ako DHPC, DNS, NTP, > NAT/PAT atd > na energeticky nenarocnom pocitaci pre 24/7, ale aby stihal rutovat aspon 20 > Mbps. > Idem vyskusat/objednat ?TC-261LDX mini, 1x CF, 1x SD,1GHz, 2x LAN, fanless, > 256MB > http://www.asm.cz/zbozi/tc-261ldx-mini-1x-cf-1x-sd1ghz-2x-lan-fanless-256mb.html > > Otazka do plena, ma niekto skusenost s FreeBSD na takomto HW, respektive > nejakom podobnym? > > Jozef Pro 20Mbps NAT obema smery je potreba relativne vykonejsi procesor a pamet, coz u Soekrisu splnuje az model http://www.soekris.com/net5501.htm (500 Mhz AMD Geode LX, 512MB RAM) dalsi moznost je http://www.pcengines.ch/alix2d3.htm (500 Mhz AMD Geode LX, 256MB RAM) Kdysi jsme delali zatezove testy a merili propustnost pamatuju si, ze model http://www.soekris.com/net4501.htm uNAToval 1.5Mbps obousmerne. Vice. viz http://www.wibsd.cz/doc/soekris_4521_benchmark.html WRAP (predchudce ALIXu) se starsim Geodem byl vyrazne vykonejsi. Aktualne uz se tomuto oboru nevenuju, takze nevim, ale kolem SOEKRISu existuje velka komunita (linux & freebsd) a daji ti na jasne polozenou otazku aktualni odpoved. Mail list: http://lists.soekris.com/mailman/listinfo/soekris-tech David. From mk7ygre33apsq23c at foo.sk Wed Apr 29 21:53:56 2009 From: mk7ygre33apsq23c at foo.sk (Richard Willmann) Date: Wed, 29 Apr 2009 21:53:56 +0200 Subject: FreeBSD na minipocitaci bez disku a ventilarota References: <49F5BE76.3050409@jozef.drahovsky.sk> <2ec8f53f0904290906m5df4528cy616ba415d6d73746@mail.gmail.com> Message-ID: > Pro 20Mbps NAT obema smery je potreba relativne vykonejsi procesor a > pamet, coz u Soekrisu splnuje az model > http://www.soekris.com/net5501.htm (500 Mhz AMD Geode LX, 512MB RAM) > dalsi moznost je > http://www.pcengines.ch/alix2d3.htm (500 Mhz AMD Geode LX, 256MB RAM) mimochodom, ma niekto prakticke skusenosti so smerovanim cca. 100 Mbit (cast z toho bude NATovana)? Kolega navrhol toto (ano, ma to byt low cost): Intel E1400 (2 GHz) + 1 GB RAM + Intel PRO/1000 PT vsetko na lacnej zakladovke od Intelu (http://www.intel.com/products/desktop/motherboards/DG41RQ/DG41RQ-overview.htm). este k topologii, realne je rec o 200 MBit nakolko na stroji bude iba jedna sietovka a vsetko bued vytiahnute po VLANoch. d~ rwi From vilem.kebrt at gmail.com Thu Apr 30 01:55:59 2009 From: vilem.kebrt at gmail.com (=?ISO-8859-1?Q?Vil=E9m_Kebrt?=) Date: Thu, 30 Apr 2009 01:55:59 +0200 Subject: FreeBSD na minipocitaci bez disku a ventilarota In-Reply-To: References: <49F5BE76.3050409@jozef.drahovsky.sk> <2ec8f53f0904290906m5df4528cy616ba415d6d73746@mail.gmail.com> Message-ID: <49F8E90F.7090201@gmail.com> Zdravim Co se tyka cca 100 Mbitu a konkretne tohoto reseni tak si nejsem jist zda primo freebsd je idealni volbou, s tim zkusenosti nemam. Pravdepodobne by to problem byt nemel, ale dal bych si pozor na nastaveni pametovych veci ohledne natu, nat je docela papajici potvora :) Jinak ja neco podobneho na podobnem hw provozuji na platforme mikrotik, ale to sem jiz nepatri, pro pripadne dalsi info navrhuji primy kontakt emailem :) Co se freebsd tyka tak to naopak mohu jen doporucit pro prime "aplikacni" servery...od webu pres mail atd. atd. jadro je velice kvalitni a nepada ani v extremnich pripadech pretizeni hw(vyzkouseno na mem starem stroji). Vilem Richard Willmann napsal(a): >> Pro 20Mbps NAT obema smery je potreba relativne vykonejsi procesor a >> pamet, coz u Soekrisu splnuje az model >> http://www.soekris.com/net5501.htm (500 Mhz AMD Geode LX, 512MB RAM) >> dalsi moznost je >> http://www.pcengines.ch/alix2d3.htm (500 Mhz AMD Geode LX, 256MB RAM) > > mimochodom, ma niekto prakticke skusenosti so smerovanim cca. 100 Mbit > (cast z toho bude NATovana)? > > Kolega navrhol toto (ano, ma to byt low cost): > > Intel E1400 (2 GHz) + 1 GB RAM + Intel PRO/1000 PT > > vsetko na lacnej zakladovke od Intelu > (http://www.intel.com/products/desktop/motherboards/DG41RQ/DG41RQ-overview.htm). > > > > este k topologii, realne je rec o 200 MBit nakolko na stroji bude iba > jedna sietovka a vsetko bued vytiahnute po VLANoch. > > d~ > > rwi > > > > > > > > -- > FreeBSD mailing list (users-l at freebsd.cz) > http://www.freebsd.cz/listserv/listinfo/users-l From radek at ceskedomeny.cz Thu Apr 30 08:45:40 2009 From: radek at ceskedomeny.cz (Radek Krejca) Date: Thu, 30 Apr 2009 08:45:40 +0200 Subject: FreeBSD na minipocitaci bez disku a ventilarota In-Reply-To: <49F8E90F.7090201@gmail.com> References: <49F5BE76.3050409@jozef.drahovsky.sk> <2ec8f53f0904290906m5df4528cy616ba415d6d73746@mail.gmail.com> <49F8E90F.7090201@gmail.com> Message-ID: <565537675.20090430084540@starnet.cz> Ahoj, VK> Co se tyka cca 100 Mbitu a konkretne tohoto reseni tak si nejsem jist VK> zda primo freebsd je idealni volbou, s tim zkusenosti nemam. Z mych zkusenosti je dobrou volbou. VK> Pravdepodobne by to problem byt nemel, ale dal bych si pozor na VK> nastaveni pametovych veci ohledne natu, nat je docela papajici potvora :) Svata slova + je krome tunningu dulezite i zelezo, na kterem to provozujes. -- S pozdravem, Radek Krejca From buchtajz at borsice.net Thu Apr 30 10:21:40 2009 From: buchtajz at borsice.net (Michal Buchtik) Date: Thu, 30 Apr 2009 10:21:40 +0200 Subject: FreeBSD na minipocitaci bez disku a ventilarota In-Reply-To: <49F8E90F.7090201@gmail.com> References: <49F5BE76.3050409@jozef.drahovsky.sk> <2ec8f53f0904290906m5df4528cy616ba415d6d73746@mail.gmail.com> <49F8E90F.7090201@gmail.com> Message-ID: <1241079700.1798.18.camel@manwe.buchtikov.borsice.sfn> Vil?m Kebrt p??e v ?t 30. 04. 2009 v 01:55 +0200: > Zdravim > Co se tyka cca 100 Mbitu a konkretne tohoto reseni tak si nejsem jist > zda primo freebsd je idealni volbou, s tim zkusenosti nemam. Nazdar, tak my s tim naopak zkusenosti mame. Jeden stroj nam tady NATuje pres 150MBit, a nema s tim problem. Pouzivame PF. Ve spickach to jde ke 40k pps a 300k spojeni. Ted tam bezi trochu starsi 7.0-STABLE, amd64 Intel(R) Xeon(R) CPU 3050 @ 2.13GHz zakladni deska S3000AH, 1GB RAM Michal From radek at ceskedomeny.cz Thu Apr 30 11:11:08 2009 From: radek at ceskedomeny.cz (Radek Krejca) Date: Thu, 30 Apr 2009 11:11:08 +0200 Subject: FreeBSD na minipocitaci bez disku a ventilarota In-Reply-To: <1241079700.1798.18.camel@manwe.buchtikov.borsice.sfn> References: <49F5BE76.3050409@jozef.drahovsky.sk> <2ec8f53f0904290906m5df4528cy616ba415d6d73746@mail.gmail.com> <49F8E90F.7090201@gmail.com> <1241079700.1798.18.camel@manwe.buchtikov.borsice.sfn> Message-ID: <736381480.20090430111108@starnet.cz> MB> Nazdar, MB> tak my s tim naopak zkusenosti mame. Jeden stroj nam tady NATuje pres MB> 150MBit, a nema s tim problem. Pouzivame PF. MB> Ve spickach to jde ke 40k pps a 300k spojeni. Tak puvodni dotaz byl ale zrejme na nejakou onu silene uspornou a minimalistickou architekturu, ja pres pf a ne moc drahy stroj unatuju aktualne bez problemu 361 Mbit (asi i vic, tohle ted aktualne svisti), nicmene nevim o stroji, co by byl takhle malicky. Nevim, jak si stoji RB 1000 nebo RB 600A, v takovemhle provozu jsem je nezkousel. MB> Ted tam bezi trochu starsi 7.0-STABLE, amd64 MB> Intel(R) Xeon(R) CPU 3050 @ 2.13GHz MB> zakladni deska S3000AH, 1GB RAM Tu mas ale s chladicem. Dle meho se tezko uz takovy provoz uchladi jen s nejakym routerboardem bez chladice, ale mohu se mylit. -- S pozdravem, Radek Krejca From 000.fbsd at quip.cz Thu Apr 30 11:46:56 2009 From: 000.fbsd at quip.cz (Miroslav Lachman) Date: Thu, 30 Apr 2009 11:46:56 +0200 Subject: FreeBSD na minipocitaci bez disku a ventilarota In-Reply-To: <736381480.20090430111108@starnet.cz> References: <49F5BE76.3050409@jozef.drahovsky.sk> <2ec8f53f0904290906m5df4528cy616ba415d6d73746@mail.gmail.com> <49F8E90F.7090201@gmail.com> <1241079700.1798.18.camel@manwe.buchtikov.borsice.sfn> <736381480.20090430111108@starnet.cz> Message-ID: <49F97390.4000103@quip.cz> Radek Krejca wrote: > MB> Nazdar, > MB> tak my s tim naopak zkusenosti mame. Jeden stroj nam tady NATuje pres > MB> 150MBit, a nema s tim problem. Pouzivame PF. > MB> Ve spickach to jde ke 40k pps a 300k spojeni. > > Tak puvodni dotaz byl ale zrejme na nejakou onu silene uspornou a > minimalistickou architekturu, ja pres pf a ne moc drahy stroj unatuju > aktualne bez problemu 361 Mbit (asi i vic, tohle ted aktualne > svisti), nicmene nevim o stroji, co by byl takhle malicky. Nevim, jak > si stoji RB 1000 nebo RB 600A, v takovemhle provozu jsem je > nezkousel. > > MB> Ted tam bezi trochu starsi 7.0-STABLE, amd64 > MB> Intel(R) Xeon(R) CPU 3050 @ 2.13GHz > MB> zakladni deska S3000AH, 1GB RAM > > Tu mas ale s chladicem. Dle meho se tezko uz takovy provoz uchladi > jen s nejakym routerboardem bez chladice, ale mohu se mylit. Ja s NATovanim takoveho provozu nemam zadne zkusenosti, ale jen bych se rad zeptal, jestli neni ten nejzasadnejsi rozdil v NATu prave u pouzite technologie, kde pokud se nepletu, tak IPFW na to pouziva user space daemona a PF dela NAT v kernelu... takze bych ocekaval, ze bude PF pro NAT vyrazne lepsi (ale moje znalosti a prakticke zkusenosti v tehle oblasti se blizi nule :] tak se rad necham poucit) Mirek From pm-conf at kostax.cz Thu Apr 30 12:42:50 2009 From: pm-conf at kostax.cz (Petr Macek) Date: Thu, 30 Apr 2009 12:42:50 +0200 Subject: FreeBSD na minipocitaci bez disku a ventilarota In-Reply-To: <49F97390.4000103@quip.cz> References: <49F5BE76.3050409@jozef.drahovsky.sk> <2ec8f53f0904290906m5df4528cy616ba415d6d73746@mail.gmail.com> <49F8E90F.7090201@gmail.com> <1241079700.1798.18.camel@manwe.buchtikov.borsice.sfn> <736381480.20090430111108@starnet.cz> <49F97390.4000103@quip.cz> Message-ID: <49F980AA.4070302@kostax.cz> > Ja s NATovanim takoveho provozu nemam zadne zkusenosti, ale jen bych se > rad zeptal, jestli neni ten nejzasadnejsi rozdil v NATu prave u pouzite > technologie, kde pokud se nepletu, tak IPFW na to pouziva user space > daemona a PF dela NAT v kernelu... takze bych ocekaval, ze bude PF pro > NAT vyrazne lepsi (ale moje znalosti a prakticke zkusenosti v tehle > oblasti se blizi nule :] tak se rad necham poucit) > jo, je to tak. Ja nenatuju stovky MB, jen desitky a moje zkusenost je presne takova. IPDIVERT u IPFW mi dost zatezoval stroj i pri 15MBit. Kdyz jsem zkusil PF, tak zatizeni serveru vyrazne kleslo. Vyrazne lepsi je pomerne nova vec IPFIREWALL_NAT, coz je kernelova vec. Zkousel jsem ho na 3 instalacich (asi vse 7.0), vykonove je na tom imho lepe nez PF, ale ve dvou pripadech se mi choval dost podivne. V jednom pripade natoval jen cast provozu a se zbytkem proste nic nedelal a v druhem se mi tez nechoval uplne korektne. Ale to jsou asi tak pul roku stare zkusenosti, dnes to muze byt uplne jinak. Na jednom stroji mi IPFIREWALL_NAT tech pul roku bezi. Blize jsem to nezkoumal. Ale vykonove je to proto ipdivertu uplne nekde jinde. PM -- # --------------- # Petr Macek # pm at kostax.cz # icq: 87323239 # www.kostax.cz # MySQL www client (PHP) ... try it! # http://the.cz/mywwwatcher From mk7ygre33apsq23c at foo.sk Thu Apr 30 13:36:40 2009 From: mk7ygre33apsq23c at foo.sk (Richard Willmann) Date: Thu, 30 Apr 2009 13:36:40 +0200 Subject: FreeBSD na minipocitaci bez disku a ventilarota References: <49F5BE76.3050409@jozef.drahovsky.sk><2ec8f53f0904290906m5df4528cy616ba415d6d73746@mail.gmail.com><49F8E90F.7090201@gmail.com><1241079700.1798.18.camel@manwe.buchtikov.borsice.sfn> <736381480.20090430111108@starnet.cz> Message-ID: > Tak puvodni dotaz byl ale zrejme na nejakou onu silene uspornou a > minimalistickou architekturu, ja pres pf a ne moc drahy stroj unatuju > aktualne bez problemu 361 Mbit (asi i vic, tohle ted aktualne > svisti), nicmene nevim o stroji, co by byl takhle malicky. Nevim, jak > si stoji RB 1000 nebo RB 600A, v takovemhle provozu jsem je > nezkousel. ano, povodny dotaz z pred par dni od Jozefa bol na stroj bez vetraku. Ja som sa opytal na "konkretny lacak" :) d~ rwi From dan at obluda.cz Thu Apr 30 15:08:34 2009 From: dan at obluda.cz (Dan Lukes) Date: Thu, 30 Apr 2009 15:08:34 +0200 Subject: FreeBSD na minipocitaci bez disku a ventilarota In-Reply-To: References: <49F5BE76.3050409@jozef.drahovsky.sk><2ec8f53f0904290906m5df4528cy616ba415d6d73746@mail.gmail.com><49F8E90F.7090201@gmail.com><1241079700.1798.18.camel@manwe.buchtikov.borsice.sfn> <736381480.20090430111108@starnet.cz> Message-ID: <49F9A2D2.9070502@obluda.cz> Richard Willmann napsal/wrote, On 04/30/09 13:36: > povodny dotaz z pred par dni od Jozefa bol na stroj bez vetraku Slusny pasivni chladic by 2GHz Duo procesor uchladit mel. Takze pokud nejde o rozmery, ale o bezvetrakovost, tak by to neresitelny problem byt nemusel. Dan From vilem.kebrt at gmail.com Fri May 1 10:36:15 2009 From: vilem.kebrt at gmail.com (=?ISO-8859-1?Q?Vil=E9m_Kebrt?=) Date: Fri, 01 May 2009 10:36:15 +0200 Subject: FreeBSD na minipocitaci bez disku a ventilarota In-Reply-To: <736381480.20090430111108@starnet.cz> References: <49F5BE76.3050409@jozef.drahovsky.sk> <2ec8f53f0904290906m5df4528cy616ba415d6d73746@mail.gmail.com> <49F8E90F.7090201@gmail.com> <1241079700.1798.18.camel@manwe.buchtikov.borsice.sfn> <736381480.20090430111108@starnet.cz> Message-ID: <49FAB47F.90005@gmail.com> Zdar, RB 1000 - routing(bgp),nat, vlany, atd .... prumerny trafic skrz cca 270Mbit ... a zatez nekde kolem 48%. takze v tom by problem byt rozhodne nemel :). Mikrotik na p3 tualantinu s 1g pameti -> routing(ospf),vlany,nat,dmz,orezy -> bezny provoz kolem 100Mbit -> zatez nekde kolem 66%. Vic k tomu asi nemam, tohle je z praxe :) vilem Radek Krejca napsal(a): > MB> Nazdar, > MB> tak my s tim naopak zkusenosti mame. Jeden stroj nam tady NATuje pres > MB> 150MBit, a nema s tim problem. Pouzivame PF. > MB> Ve spickach to jde ke 40k pps a 300k spojeni. > > Tak puvodni dotaz byl ale zrejme na nejakou onu silene uspornou a > minimalistickou architekturu, ja pres pf a ne moc drahy stroj unatuju > aktualne bez problemu 361 Mbit (asi i vic, tohle ted aktualne > svisti), nicmene nevim o stroji, co by byl takhle malicky. Nevim, jak > si stoji RB 1000 nebo RB 600A, v takovemhle provozu jsem je > nezkousel. > > MB> Ted tam bezi trochu starsi 7.0-STABLE, amd64 > MB> Intel(R) Xeon(R) CPU 3050 @ 2.13GHz > MB> zakladni deska S3000AH, 1GB RAM > > Tu mas ale s chladicem. Dle meho se tezko uz takovy provoz uchladi > jen s nejakym routerboardem bez chladice, ale mohu se mylit. > > From jack.hokus at gmail.com Sat Apr 25 11:00:38 2009 From: jack.hokus at gmail.com (Jack Hokus) Date: Sat, 25 Apr 2009 11:00:38 +0200 Subject: pomoc s prekladem textu Message-ID: <5b66c5440904250200y5ba16557v7cd86bc343c8e5a3@mail.gmail.com> Ahoj, prelozil jsem si kousek Handbooku, teda to co jsem zvladl se svou anglictinou, prosim mrkne te se mi na to. Vetsinou to slo. Ale na tomhle jsem shorel A compressed package tarball is typically smaller than the compressed tarball containing the source code for the application diky Petr From 000.fbsd at quip.cz Fri May 1 15:01:24 2009 From: 000.fbsd at quip.cz (Miroslav Lachman) Date: Fri, 01 May 2009 15:01:24 +0200 Subject: pomoc s prekladem textu In-Reply-To: <5b66c5440904250200y5ba16557v7cd86bc343c8e5a3@mail.gmail.com> References: <5b66c5440904250200y5ba16557v7cd86bc343c8e5a3@mail.gmail.com> Message-ID: <49FAF2A4.10004@quip.cz> Jack Hokus wrote: > Ahoj, > > prelozil jsem si kousek Handbooku, teda to co jsem zvladl se svou > anglictinou, prosim mrkne te se mi na to. Vetsinou to slo. Ale na > tomhle jsem shorel > > A compressed package tarball is typically smaller than the compressed > tarball containing the source code for the application Bez znalosti okonliho kontextu a v nem pouzitych prekladanych frazi se to nedela moc snadno (aby se stejne fraze prekladaly stejne a ne jednou jako balik, priste balicek, jindy archiv a tak dale) Takze ja bych to zkusil treba jako: Komprimovany balicek v tar archivu je typicky mensi, nez komprimovany tar archiv obsahujici zdrojovy kod aplikace. Ale je to takovy dost humpolacky "doslovny preklad". Stejne tak by se to dalo volne prevest na: Komprimovany balicek je obvykle mensi, nez komprimovany archiv zdrojoveho kodu aplikace. Ale porad je nejpodstatnejsi to, jak ve zbytku prekladu prekladas slovo package, pripadne i tarball. Mirek From vilem.kebrt at gmail.com Sat May 2 12:09:28 2009 From: vilem.kebrt at gmail.com (=?ISO-8859-1?Q?Vil=E9m_Kebrt?=) Date: Sat, 02 May 2009 12:09:28 +0200 Subject: pomoc s prekladem textu In-Reply-To: <5b66c5440904250200y5ba16557v7cd86bc343c8e5a3@mail.gmail.com> References: <5b66c5440904250200y5ba16557v7cd86bc343c8e5a3@mail.gmail.com> Message-ID: <49FC1BD8.7090807@gmail.com> Ahoj, preklad (doslovny) je dost jednoduchy: Zabaleny tarball (zatarovanej file) baliku(jako binarky aplikace) je obycejne mensi nez zabaleny tarball obsahujici zdrojovy kod pro aplikaci. vilem Jack Hokus napsal(a): > Ahoj, > > prelozil jsem si kousek Handbooku, teda to co jsem zvladl se svou > anglictinou, prosim mrkne te se mi na to. Vetsinou to slo. Ale na > tomhle jsem shorel > > A compressed package tarball is typically smaller than the compressed > tarball containing the source code for the application > > diky > > Petr > > ------------------------------------------------------------------------ > > -- > FreeBSD mailing list (users-l at freebsd.cz) > http://www.freebsd.cz/listserv/listinfo/users-l > From radek at ceskedomeny.cz Sun May 3 19:17:50 2009 From: radek at ceskedomeny.cz (Radek Krejca) Date: Sun, 3 May 2009 19:17:50 +0200 Subject: Padani bgp / quagga Message-ID: <1935421400.20090503191750@starnet.cz> Dobry den, od dnesniho poledne mi pada kazdych cca 6 minut bgp demon quagga, jsem tak castecne bez netu, takze hledani neni moc flexibilni, pada na hlasku: May 3 19:15:36 gw bgpd[7225]: Assertion `len < str_size' failed in file bgp_aspath.c, line 619, function aspath_make_str_count May 3 19:15:36 gw kernel: pid 7225 (bgpd), uid 101: exited on signal 6 May 3 19:15:36 gw bgpd[7225]: No backtrace available on this platform. Mam updatovano na posledni verzi, presto mam tento problem, nesetkal jste se nekdo s timto problemem? Diky Radek -- S pozdravem, Radek Krejca STARNET, s. r. o. radek at ceskedomeny.cz From tomas at caslavsky.cz Sun May 3 20:20:45 2009 From: tomas at caslavsky.cz (Tomas Caslavsky) Date: Sun, 03 May 2009 20:20:45 +0200 Subject: Padani bgp / quagga In-Reply-To: <1935421400.20090503191750@starnet.cz> References: <1935421400.20090503191750@starnet.cz> Message-ID: <49FDE07D.3050005@caslavsky.cz> Zdravim, nejsi v tom sam mam tu hodne zakazikych stizosti na padaji BGP a vsechno ukazuje na problemy s guaggou. A chyba je vsude stejne, bohuzel zatim jsem nasel zadne systemove reseni ( ale kdyz odfilruju vsechny /24 ), tak to chodi. Tomas C Radek Krejca wrote: > Dobry den, > > od dnesniho poledne mi pada kazdych cca 6 minut bgp demon quagga, > jsem tak castecne bez netu, takze hledani neni moc flexibilni, pada > na hlasku: > > > May 3 19:15:36 gw bgpd[7225]: Assertion `len < str_size' failed in file bgp_aspath.c, line 619, function aspath_make_str_count > May 3 19:15:36 gw kernel: pid 7225 (bgpd), uid 101: exited on signal 6 > May 3 19:15:36 gw bgpd[7225]: No backtrace available on this platform. > > Mam updatovano na posledni verzi, presto mam tento problem, nesetkal > jste se nekdo s timto problemem? > > Diky > Radek > > From freebsd at ada-net.cz Sun May 3 20:24:00 2009 From: freebsd at ada-net.cz (=?ISO-8859-2?Q?Petr_Bezd=ECk?=) Date: Sun, 03 May 2009 20:24:00 +0200 Subject: Padani bgp / quagga In-Reply-To: <1935421400.20090503191750@starnet.cz> References: <1935421400.20090503191750@starnet.cz> Message-ID: <49FDE140.6070402@ada-net.cz> Radek Krejca napsal(a): > Dobry den, > > od dnesniho poledne mi pada kazdych cca 6 minut bgp demon quagga, > jsem tak castecne bez netu, takze hledani neni moc flexibilni, pada > na hlasku: > > > May 3 19:15:36 gw bgpd[7225]: Assertion `len < str_size' failed in file bgp_aspath.c, line 619, function aspath_make_str_count > May 3 19:15:36 gw kernel: pid 7225 (bgpd), uid 101: exited on signal 6 > May 3 19:15:36 gw bgpd[7225]: No backtrace available on this platform. > > Mam updatovano na posledni verzi, presto mam tento problem, nesetkal > jste se nekdo s timto problemem? > Podle tohoto to vypada, ze quagga ma problem s 4bytovyma ASN. http://www.gossamer-threads.com/lists/quagga/users/17769?do=post_view_flat Treba se nekdo z Netwaye, kdo to tu cte, pochlubi, jak s tim dnes u nich taky bojovali. -- Mgr. Petr Bezd?k email: pbezdek at ada-net.cz web: www.ada-net.cz From tomas at caslavsky.cz Sun May 3 20:32:49 2009 From: tomas at caslavsky.cz (Tomas Caslavsky) Date: Sun, 03 May 2009 20:32:49 +0200 Subject: Padani bgp / quagga In-Reply-To: <49FDE140.6070402@ada-net.cz> References: <1935421400.20090503191750@starnet.cz> <49FDE140.6070402@ada-net.cz> Message-ID: <49FDE351.9060200@caslavsky.cz> a jak to vypada tady je patch ( je bgp_aspath.c je limit na ASN jenom na 5 mist ) http://www.mail-archive.com/debian-bugs-dist at lists.debian.org/msg642247.html Tedka jsem to odzkousel na mem routeru a tento patch resi problem Tomas Petr Bezd?k wrote: > Radek Krejca napsal(a): >> Dobry den, >> >> od dnesniho poledne mi pada kazdych cca 6 minut bgp demon quagga, >> jsem tak castecne bez netu, takze hledani neni moc flexibilni, pada >> na hlasku: >> >> >> May 3 19:15:36 gw bgpd[7225]: Assertion `len < str_size' failed in >> file bgp_aspath.c, line 619, function aspath_make_str_count >> May 3 19:15:36 gw kernel: pid 7225 (bgpd), uid 101: exited on signal 6 >> May 3 19:15:36 gw bgpd[7225]: No backtrace available on this platform. >> >> Mam updatovano na posledni verzi, presto mam tento problem, nesetkal >> jste se nekdo s timto problemem? >> > > Podle tohoto to vypada, ze quagga ma problem s 4bytovyma ASN. > > http://www.gossamer-threads.com/lists/quagga/users/17769?do=post_view_flat > > > Treba se nekdo z Netwaye, kdo to tu cte, pochlubi, jak s tim dnes u > nich taky bojovali. From radek at ceskedomeny.cz Mon May 4 13:27:21 2009 From: radek at ceskedomeny.cz (Radek Krejca) Date: Mon, 4 May 2009 13:27:21 +0200 Subject: Padani bgp / quagga In-Reply-To: <49FDE351.9060200@caslavsky.cz> References: <1935421400.20090503191750@starnet.cz> <49FDE140.6070402@ada-net.cz> <49FDE351.9060200@caslavsky.cz> Message-ID: <13510074538.20090504132721@starnet.cz> Dobry den, TC> a jak to vypada tady je patch TC> ( je bgp_aspath.c je limit na ASN jenom na 5 mist ) TC> http://www.mail-archive.com/debian-bugs-dist at lists.debian.org/msg642247.html TC> Tedka jsem to odzkousel na mem routeru a tento patch resi problem a tady je primo z FBSD Ports, je funkcni (vyzkouseno pres porty a bezi od vcera v noci bez padu). https://www.caputo.com/foss/quagga-0.99.11-BGP-4-byte-ASN-bug-fixes.patch Radek -- S pozdravem, Radek Krejca STARNET, s. r. o. radek at ceskedomeny.cz From kolar.radim at gmail.com Mon May 4 22:05:05 2009 From: kolar.radim at gmail.com (Radim Kolar) Date: Mon, 4 May 2009 22:05:05 +0200 Subject: nejde mi prelozit 7.2 Message-ID: <707e14750905041305h4a406303k672c8404dff0b809@mail.gmail.com> cvsupnuto z cz.freebsd.org make buildworld, buildkernel se udela ok make installkernel taky mergemaster -p taky ale mergemaster mi nedeje hlasi chybu v src/etc/Makefile radek 34 malformed conditional .if ${MK_AMD} != "no" to same na radku 38,42,46,50,58,79,218,222 je to divne podlemne jsou to legalni .if konstrukce prekladam to na 7.1-i386 From zburget at burgnet.cz Tue May 5 07:01:59 2009 From: zburget at burgnet.cz (=?UTF-8?B?WmJ5bsSbayBCdXJnZXQ=?=) Date: Tue, 05 May 2009 07:01:59 +0200 Subject: nejde mi prelozit 7.2 In-Reply-To: <707e14750905041305h4a406303k672c8404dff0b809@mail.gmail.com> References: <707e14750905041305h4a406303k672c8404dff0b809@mail.gmail.com> Message-ID: <49FFC847.5020603@burgnet.cz> Radim Kolar napsal(a): > cvsupnuto z cz.freebsd.org > > make buildworld, buildkernel se udela ok > make installkernel taky > mergemaster -p taky > > ale mergemaster mi nedeje hlasi chybu v src/etc/Makefile ...nemel by po mergemaster -p nasledovat installworld? nemuze byt problem v tom, ze spoustis mergemaster v miste, kdy jeste neni nainstalovany novy world? Zbynek From dan at obluda.cz Tue May 5 09:23:02 2009 From: dan at obluda.cz (Dan Lukes) Date: Tue, 05 May 2009 09:23:02 +0200 Subject: nejde mi prelozit 7.2 In-Reply-To: <707e14750905041305h4a406303k672c8404dff0b809@mail.gmail.com> References: <707e14750905041305h4a406303k672c8404dff0b809@mail.gmail.com> Message-ID: <49FFE956.5030604@obluda.cz> Radim Kolar wrote: > radek 34 malformed conditional > .if ${MK_AMD} != "no" > je to divne podlemne jsou to legalni .if konstrukce Ne, kdyz je MK_AMD prazdne nebo zcela neexistujici - pak je to po expanzi promennych .if != "no" a to neni syntakticky korektni zapis. "Bezpecny" programator by promennou dal do uvozovek. Jinak ale prapuvod tvych potizi je, ze mergemaster v tomto pripade pracuje na mixu stareho a noveho environmentu. Bud' installworld (jak uz tu padlo) nebo alespon cd /usr/src/share/mk ; make install by problem melo napravit. Dan From cizek.milan at seznam.cz Wed May 6 15:20:53 2009 From: cizek.milan at seznam.cz (=?us-ascii?Q?Cizek=2EMilan?=) Date: Wed, 06 May 2009 15:20:53 +0200 (CEST) Subject: =?us-ascii?Q?PF=20nad=20bridge?= Message-ID: <2597.4674-28558-1966030354-1241616053@seznam.cz> Ahoj, sna??m se p?en?st jedno funk?n? ?e?en? z 6.3-RELEASE na 7.1, ale neda?? se. :-( 2x s??ov? karta v bridge, IPFW+PF, uk?zka rc.conf... ifconfig_fxp0="192.168.1.14/24 up" ifconfig_rl0="up" cloned_interfaces="bridge0" ifconfig_bridge0="addm fxp0 addm rl0 up" pf_enable="YES" pflog_enable="YES" firewall_enable="YES" firewall_script="/etc/rc.firewall" firewall_quiet="YES" firewall_logging="YES" A? d?l?m co d?l?m, neda?? se mi p?inutit, aby mi provoz prot?kal skrz PF (na t? 6.3 mi to jde), d?l?m to takto: sysctl net.link.bridge.ipfw=1 sysctl net.link.bridge.pfil_member=1 sysctl net.link.bridge.pfil_bridge=1 sysctl net.inet.ip.forwarding=1 Jedin? znateln? rozd?l p?i p?enosu byl ten, ?e jsem z kernelu na 7.1 musel vyhodit "options BRIDGE" (nezn?) a ponechat pouze device if_bridge. Kdy? porovn?m sysctl, jsou tam n?jak? odli?nosti (chyb? nap?. net.link.ether.bridge.config). Nev?te n?kdo, kde m??e b?t pes zakop?n? D?ky za radu. Milan From 000.fbsd at quip.cz Wed May 6 15:56:23 2009 From: 000.fbsd at quip.cz (Miroslav Lachman) Date: Wed, 06 May 2009 15:56:23 +0200 Subject: PF nad bridge In-Reply-To: <2597.4674-28558-1966030354-1241616053@seznam.cz> References: <2597.4674-28558-1966030354-1241616053@seznam.cz> Message-ID: <4A019707.4000301@quip.cz> Cizek.Milan wrote: > Ahoj, > sna??m se p?en?st jedno funk?n? ?e?en? z 6.3-RELEASE na 7.1, ale neda?? se. :-( > > 2x s??ov? karta v bridge, IPFW+PF, uk?zka rc.conf... > > ifconfig_fxp0="192.168.1.14/24 up" > ifconfig_rl0="up" > > cloned_interfaces="bridge0" > ifconfig_bridge0="addm fxp0 addm rl0 up" > > pf_enable="YES" > pflog_enable="YES" > > firewall_enable="YES" > firewall_script="/etc/rc.firewall" > firewall_quiet="YES" > firewall_logging="YES" > > A? d?l?m co d?l?m, neda?? se mi p?inutit, aby mi provoz prot?kal skrz PF (na t? 6.3 mi to jde), d?l?m to takto: > > sysctl net.link.bridge.ipfw=1 > sysctl net.link.bridge.pfil_member=1 > sysctl net.link.bridge.pfil_bridge=1 > sysctl net.inet.ip.forwarding=1 > > Jedin? znateln? rozd?l p?i p?enosu byl ten, ?e jsem z kernelu na 7.1 musel vyhodit "options BRIDGE" (nezn?) a ponechat pouze device if_bridge. Kdy? porovn?m sysctl, jsou tam n?jak? odli?nosti (chyb? nap?. net.link.ether.bridge.config). Nev?te n?kdo, kde m??e b?t pes zakop?n? D?ky za radu. Muzu jen tak ze zvedavosti vedet, proc tam jsou dva firewally? Tedy IPFW i PF? Kazdopadne mezi 6.x a 7.x PF je tusim rozdil v tom, ze v 7.x se automaticky pridava 'keep state', to by ale asi nemelo mit vliv na to, jestli nejaky provoz potece skrz PF. Co je ted tedy konkretne za problem? brdige funguje, ale neaplikuji se na nej zadna pravidla z PF? Je PF skutecne spusteno a jaka jsou tam pravidla (to je asi ta nejdulezitejsi informace, ktera tu zcela chybi, stejne jako pravidla z IPFW) Mirek From zkolarik at miastudio.cz Wed May 6 16:05:24 2009 From: zkolarik at miastudio.cz (=?ISO-8859-2?Q?Zden=ECk_Kola=F8=EDk?=) Date: Wed, 06 May 2009 16:05:24 +0200 Subject: PF nad bridge In-Reply-To: <2597.4674-28558-1966030354-1241616053@seznam.cz> References: <2597.4674-28558-1966030354-1241616053@seznam.cz> Message-ID: <4A019924.8070703@miastudio.cz> Cizek.Milan napsal(a): > Ahoj, > > A? d?l?m co d?l?m, neda?? se mi p?inutit, aby mi provoz prot?kal skrz PF (na t? 6.3 mi to jde), d?l?m to takto: > > sysctl net.link.bridge.ipfw=1 > sysctl net.link.bridge.pfil_member=1 > sysctl net.link.bridge.pfil_bridge=1 Nemuze to souviset s timhle? Man IF_BRIDGE: /net.link.bridge.ipfw/ Set to 1 to enable layer2 filtering with ipfirewall(4), set to 0 to disable it. This needs to be enabled for dummynet(4) support. When /ipfw/ is enabled, /pfil/*_*/bridge/ and /pfil/*_*/member/ will be disabled so that IPFW is not run twice; these can be re-enabled if desired. Pak by se dalo zkusit: sysctl net.link.bridge.ipfw=0 a filtrovani na jednotlivych rozhranich i na bridgi samotne by melo fungovat. Pokud ovsem nepotrebujete filtrovat provoz na druhe vrstve ... -- Zden?k From cizek.milan at seznam.cz Wed May 6 18:22:27 2009 From: cizek.milan at seznam.cz (Milan Cizek) Date: Wed, 6 May 2009 18:22:27 +0200 Subject: PF nad bridge In-Reply-To: <4A019707.4000301@quip.cz> References: <2597.4674-28558-1966030354-1241616053@seznam.cz> <4A019707.4000301@quip.cz> Message-ID: Ahoj, diky za reakce. Trochu se stydim, ale ta informace, ze pakety skrz PF neprochazi byla mylna. Az cestou domu z pr?ce jsem si uvedomil absenci kouzelneho sluvka "log" v danem pravidle. :) Takze nyn? vim, ze pakety skrz/do PF prochazeji. > Muzu jen tak ze zvedavosti vedet, proc tam jsou dva > firewally? Tedy IPFW i PF? IPFW dela pomoci dummynetu shaping nekolika tisicu IPcek. Jsou tam ruzne dumyslne optimalizace skrz skipy atd., ladilo se to celkem dlouho (generuji to skripty) a nejaky ten rok to bezi v ostrem provozu naprosto bez problemu. Nechci a ani z casovych duvodu nemohu, vymyslet vse znovu. PF je tam jen kuli jednomu rdr pravidlu pro vybrane IP adresy. Snazil jsem se toto resit na urovni IPFW, ale tam to s ohledem na dosavadni konfiguraci mo?n? nen? (fwd pravidlo = L3). Prakticky je mi jedno, kter? FW paket obslou?? jako prvn?/druh?. > Co je ted tedy konkretne za problem? brdige funguje, ale > neaplikuji se na nej zadna pravidla z PF? Je PF skutecne > spusteno a jaka jsou tam pravidla (to je asi ta > nejdulezitejsi informace, ktera tu zcela chybi, stejne jako > pravidla z IPFW) Probl?m je tedy asi a? v PF. :-) V?e funguje a? do okam?iku, kdy nahod?m PF a ve skupin? je adresa (192.168.1.12) testovan?ho PC. NET-->[bridge0:fxp0--rl0]-->LAN(192.168.1.12) int_if="rl0" table const { 192.168.1.12 } rdr pass log on $int_if proto tcp from to any port 80 -> x.x.x.x port 8080 pass all Tady zat?m kon??m. Pravidlo rdr evidentn? "n?co" d?l?, jeliko? ve?ker? traffic (z testovac?ho PC) krom webu (80 port) funguje. P?esm?rov?n? se ale nekon?. Milan From buchtajz at borsice.net Wed May 6 19:39:45 2009 From: buchtajz at borsice.net (Michal Buchtik) Date: Wed, 06 May 2009 19:39:45 +0200 Subject: PF nad bridge In-Reply-To: References: <2597.4674-28558-1966030354-1241616053@seznam.cz> <4A019707.4000301@quip.cz> Message-ID: <1241631585.1816.22.camel@manwe.buchtikov.borsice.sfn> Milan Cizek p??e v st 06. 05. 2009 v 18:22 +0200: > Probl?m je tedy asi a? v PF. :-) > V?e funguje a? do okam?iku, kdy nahod?m PF a ve skupin? je adresa > (192.168.1.12) testovan?ho PC. > > NET-->[bridge0:fxp0--rl0]-->LAN(192.168.1.12) > > int_if="rl0" > table const { 192.168.1.12 } > rdr pass log on $int_if proto tcp from to any port 80 -> x.x.x.x > port 8080 > pass all > > Tady zat?m kon??m. Pravidlo rdr evidentn? "n?co" d?l?, jeliko? ve?ker? > traffic (z testovac?ho PC) krom webu (80 port) funguje. P?esm?rov?n? se ale > nekon?. > A co tcpdump na stroji x.x.x.x, ukaze nejake pozadavky na portu 8080 ? From cizek.milan at seznam.cz Wed May 6 20:07:39 2009 From: cizek.milan at seznam.cz (Milan Cizek) Date: Wed, 6 May 2009 20:07:39 +0200 Subject: PF nad bridge In-Reply-To: <1241631585.1816.22.camel@manwe.buchtikov.borsice.sfn> References: <2597.4674-28558-1966030354-1241616053@seznam.cz><4A019707.4000301@quip.cz> <1241631585.1816.22.camel@manwe.buchtikov.borsice.sfn> Message-ID: Ahoj, > A co tcpdump na stroji x.x.x.x, ukaze nejake pozadavky na > portu 8080 ? na ten stroj x.x.x.x nic nedoraz?. Ale z toho BSD s PF "telnet x.x.x.x 8080" vr?t? HTML page. Pro jistotu mam b?hem testovani v ipfw pouze allow all from any to any. Milan From zburget at burgnet.cz Wed May 6 20:44:01 2009 From: zburget at burgnet.cz (=?ISO-8859-2?Q?Zbyn=ECk_Burget?=) Date: Wed, 06 May 2009 20:44:01 +0200 Subject: PF nad bridge In-Reply-To: <4A019924.8070703@miastudio.cz> References: <2597.4674-28558-1966030354-1241616053@seznam.cz> <4A019924.8070703@miastudio.cz> Message-ID: <4A01DA71.1000306@burgnet.cz> Zden?k Kola??k napsal(a): > Cizek.Milan napsal(a): >> Ahoj, >> >> A? d?l?m co d?l?m, neda?? se mi p?inutit, aby mi provoz prot?kal skrz PF (na t? 6.3 mi to jde), d?l?m to takto: >> >> sysctl net.link.bridge.ipfw=1 >> sysctl net.link.bridge.pfil_member=1 >> sysctl net.link.bridge.pfil_bridge=1 > Nemuze to souviset s timhle? > Man IF_BRIDGE: > > /net.link.bridge.ipfw/ Set to 1 to enable layer2 filtering with > ipfirewall(4), set to 0 to disable it. This > needs to be enabled for dummynet(4) support. > When /ipfw/ is enabled, /pfil/*_*/bridge/ and > /pfil/*_*/member/ will be disabled so that IPFW is > not run twice; these can be re-enabled if > desired. > > > > Pak by se dalo zkusit: > sysctl net.link.bridge.ipfw=0 > Pisou tam, ze pokud je /pfil/*_*/bridge/ a /pfil/*_*/member/ potreba, je zapotrebi je explicitne povolit - coz se v uvedene konfiguraci deje. Nicmene - pokud neni potreba, aby provoz prochazel skrz IPFW v layer2, tak bych net.link.bridge.ipfw opravdu vypnul. I kdyz mne v tom manu tak trochu prekvapilo to, ze tam pisou, ze je ten bridge potreba pro dummynet - nejak nechapu proc - nebo jsem nepochopil ten man :-\ Zbynek From cizek.milan at seznam.cz Wed May 6 20:59:23 2009 From: cizek.milan at seznam.cz (Milan Cizek) Date: Wed, 6 May 2009 20:59:23 +0200 Subject: PF nad bridge In-Reply-To: References: <2597.4674-28558-1966030354-1241616053@seznam.cz><4A019707.4000301@quip.cz><1241631585.1816.22.camel@manwe.buchtikov.borsice.sfn> Message-ID: <476DA42883F74B649EEEDA5488796C89@milanc> Ahoj, > > A co tcpdump na stroji x.x.x.x, ukaze nejake pozadavky na > portu 8080 > > ? > > na ten stroj x.x.x.x nic nedoraz?. Ale z toho BSD s PF > "telnet x.x.x.x 8080" > vr?t? HTML page. > Pro jistotu mam b?hem testovani v ipfw pouze allow all from > any to any. Je?t? jsem zkusil, co loguje pflog na dan?m stroji (tcpdump -n -e -ttt -i pflog0 port 8080). Podle n?j n?co odch?z? nebo se alespo? sna?? odej?t. Ale p??li? nerozum?m "bad hdr", z jak?ho d?vodu je hlavi?ka bad, pop?. co to m??e zp?sobovat. 000000 rule 0/0(match): rdr in on rl0: 192.168.1.12.2243 > X.X.X.X.8080: tcp 28 [bad hdr length 0 - too short, < 20] From zburget at burgnet.cz Wed May 6 21:17:04 2009 From: zburget at burgnet.cz (=?ISO-8859-2?Q?Zbyn=ECk_Burget?=) Date: Wed, 06 May 2009 21:17:04 +0200 Subject: PF nad bridge In-Reply-To: <476DA42883F74B649EEEDA5488796C89@milanc> References: <2597.4674-28558-1966030354-1241616053@seznam.cz><4A019707.4000301@quip.cz><1241631585.1816.22.camel@manwe.buchtikov.borsice.sfn> <476DA42883F74B649EEEDA5488796C89@milanc> Message-ID: <4A01E230.4080108@burgnet.cz> Milan Cizek napsal(a): > Ahoj, > > > 000000 rule 0/0(match): rdr in on rl0: 192.168.1.12.2243 > X.X.X.X.8080: > tcp 28 [bad hdr length 0 - too short, < 20] ^^^^^^^^^^^^^^^^^^^^^^^^^^ neco ti sezralo hlavicku - masina si mysli, ze ma nulovou delku Zbynek From buchtajz at borsice.net Wed May 6 21:39:54 2009 From: buchtajz at borsice.net (Michal Buchtik) Date: Wed, 06 May 2009 21:39:54 +0200 Subject: PF nad bridge In-Reply-To: References: <2597.4674-28558-1966030354-1241616053@seznam.cz> <4A019707.4000301@quip.cz> <1241631585.1816.22.camel@manwe.buchtikov.borsice.sfn> Message-ID: <1241638794.1816.27.camel@manwe.buchtikov.borsice.sfn> Milan Cizek p??e v st 06. 05. 2009 v 20:07 +0200: > Ahoj, > > > A co tcpdump na stroji x.x.x.x, ukaze nejake pozadavky na > > portu 8080 ? > > na ten stroj x.x.x.x nic nedoraz?. Ale z toho BSD s PF "telnet x.x.x.x 8080" > vr?t? HTML page. > Pro jistotu mam b?hem testovani v ipfw pouze allow all from any to any. > > Milan > stroj x.x.x.x je dostupny na kterem interface? pokud je na rl0 tak muze byt problem, viz man pf.conf Redirections cannot reflect packets back through the interface they arrive on, they can only be redirected to hosts connected to different interfaces or to the firewall itself. Jinak podobne presmerovani pouzivam (ale na localhost ) bez problemu. Mozna by pomohlo kdybys priznal co na tom x.x.x.x:8080 vlastne bezi za aplikaci a pro jaky ucel to pouzivas :) Michal From cizek.milan at seznam.cz Wed May 6 21:47:10 2009 From: cizek.milan at seznam.cz (Milan Cizek) Date: Wed, 6 May 2009 21:47:10 +0200 Subject: PF nad bridge In-Reply-To: <1241638794.1816.27.camel@manwe.buchtikov.borsice.sfn> References: <2597.4674-28558-1966030354-1241616053@seznam.cz><4A019707.4000301@quip.cz> <1241631585.1816.22.camel@manwe.buchtikov.borsice.sfn> <1241638794.1816.27.camel@manwe.buchtikov.borsice.sfn> Message-ID: Ahoj, > stroj x.x.x.x je dostupny na kterem interface? > pokud je na rl0 tak muze byt problem, viz man pf.conf Internet---[WAN(fxp0)--LAN(rl0)]--192.168.1.12. Ten x.x.x.x je ve?ejn? IP stroje s apache, kter? se nal?z? ve WAN. Z BSD i stroje 192.168.1.12 je p??stup na x.x.x.x:8080 funk?n?. A? do okam?iku p?id?n? 192.168.1.12 do rdr pravidla. > Jinak podobne presmerovani pouzivam (ale na localhost ) bez problemu. > Mozna by pomohlo kdybys priznal co na tom x.x.x.x:8080 > vlastne bezi za aplikaci a pro jaky ucel to pouzivas :) Nem??u. :-) Soukrom? klidn?, konkurence je v?udy p??tomn?. :) Ch?pej, ??f by mne nepochv?lil, i kdy? m? osobn? je to ?pln? ?um?k. :-) Milan From buchtajz at borsice.net Wed May 6 23:17:47 2009 From: buchtajz at borsice.net (Michal Buchtik) Date: Wed, 06 May 2009 23:17:47 +0200 Subject: PF nad bridge In-Reply-To: References: <2597.4674-28558-1966030354-1241616053@seznam.cz> <4A019707.4000301@quip.cz> <1241631585.1816.22.camel@manwe.buchtikov.borsice.sfn> <1241638794.1816.27.camel@manwe.buchtikov.borsice.sfn> Message-ID: <1241644667.1816.71.camel@manwe.buchtikov.borsice.sfn> Milan Cizek p??e v st 06. 05. 2009 v 21:47 +0200: > Ahoj, > > > stroj x.x.x.x je dostupny na kterem interface? > > pokud je na rl0 tak muze byt problem, viz man pf.conf > > Internet---[WAN(fxp0)--LAN(rl0)]--192.168.1.12. Ten x.x.x.x je ve?ejn? IP > stroje s apache, kter? se nal?z? ve WAN. > Z BSD i stroje 192.168.1.12 je p??stup na x.x.x.x:8080 funk?n?. A? do > okam?iku p?id?n? 192.168.1.12 do rdr pravidla. > ted sem si uvedomil ze ja to vlastne na bridge neprovozuju. Muzes vyzkouset na tom BSD rozjet nejaky HTTPD a smerovat pozadavky na nej ? rdr pass log on $int_if proto tcp from to any port 80 -> localhost 80 > > Jinak podobne presmerovani pouzivam (ale na localhost ) bez problemu. > > Mozna by pomohlo kdybys priznal co na tom x.x.x.x:8080 > > vlastne bezi za aplikaci a pro jaky ucel to pouzivas :) > > Nem??u. :-) Soukrom? klidn?, konkurence je v?udy p??tomn?. :) Ch?pej, ??f by > mne nepochv?lil, i kdy? m? osobn? je to ?pln? ?um?k. :-) > neni treba, takhle to staci From cizek.milan at seznam.cz Wed May 6 23:28:31 2009 From: cizek.milan at seznam.cz (Milan Cizek) Date: Wed, 6 May 2009 23:28:31 +0200 Subject: PF nad bridge In-Reply-To: <4A01E230.4080108@burgnet.cz> References: <2597.4674-28558-1966030354-1241616053@seznam.cz><4A019707.4000301@quip.cz><1241631585.1816.22.camel@manwe.buchtikov.borsice.sfn> <476DA42883F74B649EEEDA5488796C89@milanc> <4A01E230.4080108@burgnet.cz> Message-ID: <46342370D58E4D1F89F1664470CF09DE@milanc> Ahoj, > > 000000 rule 0/0(match): rdr in on rl0: 192.168.1.12.2243 > > X.X.X.X.8080: > > tcp 28 [bad hdr length 0 - too short, < 20] > ^^^^^^^^^^^^^^^^^^^^^^^^^^ neco ti sezralo > hlavicku - masina si mysli, ze ma nulovou delku tenhle problem - nepochopeni jsem vyresil... Staci pridat tcpdumpu treba -s256. > This is not a pf problem. tcpdump's snaplen defaults to 56 bytes, which is too small when reading from pflog. Use the -s flag to increase the snaplen to 256 bytes, for example. Milan From miloslav.hajek at idea.cz Thu May 7 08:48:03 2009 From: miloslav.hajek at idea.cz (=?iso-8859-2?Q?Miloslav_H=E1jek?=) Date: Thu, 7 May 2009 08:48:03 +0200 Subject: Login disabled po update imap-uw Message-ID: <51F2B90FA4944FA2A5DECB5377729C38@MHACER> Zdravim, po update portu cclient a imap-uw mi za?ala padat IMAP konektivita na spatn? heslo. V logu mail serveru je pak toto: imapd[70499]: Login disabled user=hajek auth=hajek host=[10.168.2.6] Aktualni verze imap-uw-2007e,1, cclient-2007e,1. FreeBSD je 7.0. Vedel by nekdo? M.Hajek From vnovy at vnovy.net Thu May 7 09:01:01 2009 From: vnovy at vnovy.net (Vitezslav Novy) Date: Thu, 07 May 2009 09:01:01 +0200 Subject: Login disabled po update imap-uw In-Reply-To: <51F2B90FA4944FA2A5DECB5377729C38@MHACER> References: <51F2B90FA4944FA2A5DECB5377729C38@MHACER> Message-ID: <4A02872D.4070501@vnovy.net> Miloslav H?jek wrote: > Zdravim, > > po update portu cclient a imap-uw mi za?ala padat IMAP konektivita na spatn? > heslo. > > V logu mail serveru je pak toto: > > > > imapd[70499]: Login disabled user=hajek auth=hajek host=[10.168.2.6] > Nejspis jste si pri kompilaci nepovolil pouziti plaintextoveho hesla po nesifrovanem spojeni. Defaultne je to myslim zakazane. v. From jaroslav.votruba at keytec.cz Thu May 7 10:09:06 2009 From: jaroslav.votruba at keytec.cz (Jaroslav Votruba) Date: Thu, 07 May 2009 10:09:06 +0200 Subject: Login disabled po update imap-uw In-Reply-To: <4A02872D.4070501@vnovy.net> References: <51F2B90FA4944FA2A5DECB5377729C38@MHACER> <4A02872D.4070501@vnovy.net> Message-ID: <4A029722.5010706@keytec.cz> >> >> >> imapd[70499]: Login disabled user=hajek auth=hajek host=[10.168.2.6] > po updatu se mi stalo, ze nektere programy si hodili default configurak a ten puvodni nechali ve stejnem adresari jako *.bak (nebo tak nejak) . Staci jej prejmenovat a reloadnout aplikaci. Nevim , jestli je to i vas pripad, ale za podivani nic nedate. Jarda From miloslav.hajek at idea.cz Thu May 7 10:37:08 2009 From: miloslav.hajek at idea.cz (=?iso-8859-2?Q?Miloslav_H=E1jek?=) Date: Thu, 7 May 2009 10:37:08 +0200 Subject: Login disabled po update imap-uw In-Reply-To: <4A02872D.4070501@vnovy.net> References: <51F2B90FA4944FA2A5DECB5377729C38@MHACER> <4A02872D.4070501@vnovy.net> Message-ID: <2B151923ED9B4D47B7634D8743D0B43B@MHACER> Diky za pomoc, WITH_SSL_AND_PLAINTEXT jsem pouzil, ale jen u imap-uw a ono je treba takto zkompilovat cclient. Ted uz to maka. MH >> >>Miloslav H?jek wrote: >>Zdravim, >> >> po update portu cclient a imap-uw mi za?ala padat IMAP konektivita na >>spatn? >> heslo. >> >> V logu mail serveru je pak toto: >> >> >> >> imapd[70499]: Login disabled user=hajek auth=hajek host=[10.168.2.6] >> > >Nejspis jste si pri kompilaci nepovolil pouziti plaintextoveho hesla po >nesifrovanem spojeni. Defaultne je to myslim zakazane. > >v. > From jaroslav.votruba at keytec.cz Mon May 11 13:30:12 2009 From: jaroslav.votruba at keytec.cz (Jaroslav Votruba) Date: Mon, 11 May 2009 13:30:12 +0200 Subject: dotaz =?ISO-8859-2?Q?ohledn=EC_SSH?= Message-ID: <4A080C44.70001@keytec.cz> prosim o vysvetleni nasledujiciho do SSH se dafaultn? v BSD muze prihlasit jen uzivatel, ktery je ve skupine wheel. cemuz by v configu odpovidala volba AllowGroups Nicmene v configu tato volba chybi. Proto by me zajimalo, odkud si tuto informaci ssh taha (jediny co me napada, ze to tak bylo uz zkompilovany) Jarda From dan at obluda.cz Mon May 11 13:43:17 2009 From: dan at obluda.cz (Dan Lukes) Date: Mon, 11 May 2009 13:43:17 +0200 Subject: dotaz =?ISO-8859-2?Q?ohledn=EC_SSH?= In-Reply-To: <4A080C44.70001@keytec.cz> References: <4A080C44.70001@keytec.cz> Message-ID: <4A080F55.1020005@obluda.cz> Jaroslav Votruba napsal/wrote, On 05/11/09 13:30: > do SSH se dafaultn? v BSD muze prihlasit jen uzivatel, ktery je ve > skupine wheel Ne. Pres SSH se na FreeBSD muze defaultne prihlasit kazdy s vyjimkou uzivatelu s UID=0 Protoze SSH defaultne pouziva pri prihlasovani PAM tak jde ale spis o konfiguraci PAM - ta je ale takova jak vyse popsano. Dan From dan at obluda.cz Mon May 11 13:45:30 2009 From: dan at obluda.cz (Dan Lukes) Date: Mon, 11 May 2009 13:45:30 +0200 Subject: Login disabled po update imap-uw In-Reply-To: <2B151923ED9B4D47B7634D8743D0B43B@MHACER> References: <51F2B90FA4944FA2A5DECB5377729C38@MHACER> <4A02872D.4070501@vnovy.net> <2B151923ED9B4D47B7634D8743D0B43B@MHACER> Message-ID: <4A080FDA.3020902@obluda.cz> Miloslav H?jek napsal/wrote, On 05/07/09 10:37: > Diky za pomoc, WITH_SSL_AND_PLAINTEXT jsem pouzil, ale jen u imap-uw a ono > je treba takto zkompilovat cclient. Ted uz to maka. No, a ja bych se vyhnul komplikacim s customizovanou kompilaci (respektive tim, ze pri ruznych rekompilacich se na to zapomene) a misto toho, abych se spolehal na defaultni (zakompilovane) chovani bych pouziti plaintextoveho hesla vlozil do konfiguraku ... Navic si to pak ani nemusim prekladat sam, muzu pouzivat "standardni" balicky. Dan From dadans at gmail.com Mon May 11 13:47:04 2009 From: dadans at gmail.com (DadAN) Date: Mon, 11 May 2009 13:47:04 +0200 Subject: =?ISO-8859-2?Q?Re=3A_dotaz_ohledn=EC_SSH?= In-Reply-To: <4A080C44.70001@keytec.cz> References: <4A080C44.70001@keytec.cz> Message-ID: 2009/5/11 Jaroslav Votruba : > prosim o vysvetleni nasledujiciho > do SSH se dafaultn? v BSD muze prihlasit jen uzivatel, ktery je ve skupine > wheel. cemuz by v configu odpovidala volba AllowGroups > Nicmene v configu tato volba chybi. Proto by me zajimalo, odkud si tuto > informaci ssh taha (jediny co me napada, ze to tak bylo uz zkompilovany > Jarda prihlasit sa moze aj uzivatel, ktory nie je v skupine wheel, nic menej volba Allowgroups a Allowusers specifikuje, ktora skupina/user sa moze prihlasit cez ssh -- DadAN From jaroslav.votruba at keytec.cz Tue May 12 14:06:49 2009 From: jaroslav.votruba at keytec.cz (Jaroslav Votruba) Date: Tue, 12 May 2009 14:06:49 +0200 Subject: dotaz =?ISO-8859-2?Q?ohledn=EC_SSH?= In-Reply-To: <4A080F55.1020005@obluda.cz> References: <4A080C44.70001@keytec.cz> <4A080F55.1020005@obluda.cz> Message-ID: <4A096659.9090005@keytec.cz> > > > Protoze SSH defaultne pouziva pri prihlasovani PAM tak jde ale spis o > konfiguraci PAM - ta je ale takova jak vyse popsano. > > Dan > dobra, ale nejak jsem nenasel , kde se nastavuje pro SSH v PAM ta skupina wheel. Koukal jsem do manu (man pam_unix 8 a man pam 3), ale z toho moudrej nejsem. Ne ze bych to chtel menit, ale zajimalo by me, odkud si ten PAM taha info, ze zrovna skupina wheel se muze prihlasit pres ssh a ne treba skupina banan. jarda From dan at obluda.cz Tue May 12 14:19:51 2009 From: dan at obluda.cz (Dan Lukes) Date: Tue, 12 May 2009 14:19:51 +0200 Subject: dotaz =?ISO-8859-2?Q?ohledn=EC_SSH?= In-Reply-To: <4A096659.9090005@keytec.cz> References: <4A080C44.70001@keytec.cz> <4A080F55.1020005@obluda.cz> <4A096659.9090005@keytec.cz> Message-ID: <4A096967.3090900@obluda.cz> Jaroslav Votruba napsal/wrote, On 05/12/09 14:06: >> Protoze SSH defaultne pouziva pri prihlasovani PAM tak jde ale spis o >> konfiguraci PAM - ta je ale takova jak vyse popsano. > dobra, ale nejak jsem nenasel , kde se nastavuje pro SSH v PAM ta > skupina wheel. Koukal jsem do manu (man pam_unix 8 a man pam 3), ale z > toho moudrej nejsem. > Ne ze bych to chtel menit, ale zajimalo by me, odkud si ten PAM taha > info, ze zrovna skupina wheel se muze prihlasit pres ssh a ne treba > skupina banan. KDYBY to zpusoboval PAM, tak by to bylo v /etc/pam.d/sshd ja al enevim, ktery z nekolika moznych postupu to u sebe mas zablokovane. Defaultne to rozhodne zablokovane neni, takze by melo stacit zeptat se toho, kdo to blokoval jaky mechanismus na to pouzil ... Dan From freebsdcz2 at jozef.drahovsky.sk Tue May 12 16:01:59 2009 From: freebsdcz2 at jozef.drahovsky.sk (Jozef Drahovsky) Date: Tue, 12 May 2009 16:01:59 +0200 Subject: Fatal trap pri starte kernelu - TC261LDX Message-ID: <4A098157.8000308@jozef.drahovsky.sk> Trapim sa s technologickum, bezventilatorovym, bezdiskovym minipocitacom TC 261 LDX, 486/DX a FreeBSD Nabootovat dokaze ale pri starte kernela z instalacneho media, jedno akeho, skonci chybovym hlasenim: Fatal trap 9: general protection fiult while in kernel mode cpuid=0; aicp id=00 instruction pointer = 0x80:0xa0ec stack pointer = 0x28:0xf9e frame pointer = 0x28:0xfd2 code segment = base 0xc00f0000, limit 0xffff, type 0x1b = DPL 0, pres 1, def32 0, gran 0 processor eflags = interrupt enabled, IOPL =0 current process = 0 (swapper) trap number =9 panic: general protection fault cpuid =0 Uptime: 1s Automatic reboot in 15 seconds - press a key on the console to abort posledna hlaska predtym je: PCI0: at device 12.0 (no driver attached0 cpu0 on motherboad v pripade, ze som dal vypisovat jednotlive kroky, tak posledna hlaska je pnpbios: handel 5 device IP PNP0303 (0303d041) Blbne to na 7.x aj 6.x starsie som zatial neskusal. Vyskusal som niekolko linuxov a tie co poznaju i368 (nie su iba 64 bit) bezia bez peroblemov, vratane grafickeho rozhrania. V biose som pomenil snad vsetko co sa dalo a na hlaske sa nic nemeni. Vie niekto poradit ako dalej? Jozef Drahovsky From dan at obluda.cz Tue May 12 16:42:04 2009 From: dan at obluda.cz (Dan Lukes) Date: Tue, 12 May 2009 16:42:04 +0200 Subject: Fatal trap pri starte kernelu - TC261LDX In-Reply-To: <4A098157.8000308@jozef.drahovsky.sk> References: <4A098157.8000308@jozef.drahovsky.sk> Message-ID: <4A098ABC.8030000@obluda.cz> Jozef Drahovsky napsal/wrote, On 05/12/09 16:01: > Nabootovat dokaze ale pri starte kernela z instalacneho media, > Fatal trap 9: general protection fiult while in kernel mode > cpuid=0; aicp id=00 > instruction pointer = 0x80:0xa0ec > stack pointer = 0x28:0xf9e > frame pointer = 0x28:0xfd2 > code segment = base 0xc00f0000, limit 0xffff, type 0x1b > = DPL 0, pres 1, def32 0, gran 0 > processor eflags = interrupt enabled, IOPL =0 > current process = 0 (swapper) > trap number =9 > panic: general protection fault > posledna hlaska predtym je: > PCI0: at device 12.0 (no driver attached0 cpu0 on motherboad > > v pripade, ze som dal vypisovat jednotlive kroky, tak posledna hlaska je > pnpbios: handel 5 device IP PNP0303 (0303d041) PNP0303 je klavesnice. Potiz by byla, pokud technologicky pocitac vubec ISA klavesnici nema - tedy - vubec nema klavesnicovy chip. To by pak ale snad PNP0303 nenadetekoval vubec. Tato teorie by ale vedla ke zkousce, jestli na veci neco zmeni start s konzoli nasmerovanou do seriaku (tedy ne z klavesnice). Jina teorie rika, ze problem nastal v dobe detekce ISA PNP zarizeni. Navic, IP v okamziku padu mi pripada byt adresa v BIOSu (nenosim memory mapu v hlave, mozna se pletu). Mohlo by tedy jit o problem souvisejici s PNP. TO by nabizelo tyto moznosti: 1. Zkusit kernel uplne bez PNPBIOSu nez se ale vrhnes do pripravy customizovaneho instalacniho CD s vlastnim kernelem, mozna stoji za to venovat chvili casu jine teorii - a to, ze problem je v interakci ACPI a PNP. To znamena - zkusit v BIOSu zakazat (nebo povolit, podle toho, jaky je soucasny stav) ACPI. A take pri startu kernelu lze zvolit start bez acpi, takze bych zkusil i tuto moznost. Taky to ale muze byt tak, ze hlasky, ktere vidime, nepatri problematickym zarizenim - a spadne to az pri pokusu obslouzit "dalsi v rade". jake - to ale nevime. Pak by samozrejme byal mimo jak teorie o nepritomne klavesnici, tak by razem byla nejsita teorit o PNP (dalsi zarizeni nemusi byt PNP). A to pomijim pesimistickou moznost, ze za tim muze byt neco naprosto jineho ... V takovem pripade bych zkusil nonSMP/nonAPIC (pozor, APIC neni totez, co ACPI) kernel, ale to uz jsme, zaprve, znovu u vlastniho kernelu a za druhe, neexistuje zadne racionalni zduvodneni, proc si myslim, ze prave tento pokus ma vetsi smysl, nez nektere jine. Ale ja bych ho udelal ... Dan From jaroslav.votruba at keytec.cz Wed May 13 06:34:28 2009 From: jaroslav.votruba at keytec.cz (Jaroslav Votruba) Date: Wed, 13 May 2009 06:34:28 +0200 Subject: dotaz =?UTF-8?B?b2hsZWRuxJsgU1NI?= In-Reply-To: <4A096967.3090900@obluda.cz> References: <4A080C44.70001@keytec.cz> <4A080F55.1020005@obluda.cz> <4A096659.9090005@keytec.cz> <4A096967.3090900@obluda.cz> Message-ID: <4A0A4DD4.10005@keytec.cz> > >> dobra, ale nejak jsem nenasel , kde se nastavuje pro SSH v PAM ta >> skupina wheel. Koukal jsem do manu (man pam_unix 8 a man pam 3), ale >> z toho moudrej nejsem. >> Ne ze bych to chtel menit, ale zajimalo by me, odkud si ten PAM taha >> info, ze zrovna skupina wheel se muze prihlasit pres ssh a ne treba >> skupina banan. > > KDYBY to zpusoboval PAM, tak by to bylo v > /etc/pam.d/sshd > tam je jen neco o natahovani *.so modulu > ja al enevim, ktery z nekolika moznych postupu to u sebe mas zablokovane. > > Defaultne to rozhodne zablokovane neni, jak to ze ne? Kazdy freebsd, ke kterymu jsem se dostal mel povoleno prihlaseni k ssh jen pro cleny skupiny wheel > takze by melo stacit zeptat se toho, kdo to blokoval jaky mechanismus > na to pouzil ... > instaloval jsem to ja a nejsem si vedomej toho, ze bych neco nastavoval. > Dan > From indigo at eiecon.net Wed May 13 06:49:41 2009 From: indigo at eiecon.net (Indigo) Date: Wed, 13 May 2009 06:49:41 +0200 Subject: =?iso-8859-2?B?ZG90YXogb2hsZWRu7CBTU0g=?= In-Reply-To: <4A0A4DD4.10005@keytec.cz> References: <4A080C44.70001@keytec.cz> <4A080F55.1020005@obluda.cz> <4A096659.9090005@keytec.cz> <4A096967.3090900@obluda.cz> <4A0A4DD4.10005@keytec.cz> Message-ID: >> Defaultne to rozhodne zablokovane neni, > jak to ze ne? Kazdy freebsd, ke kterymu jsem se dostal mel povoleno > prihlaseni k ssh jen pro cleny skupiny wheel Kazde FreeBSD ke kteremu jsem se dostal ja melo defaultne zakazan SSH login pro uzivatele s UID=0 pomoci option PermitRootLogin=no. Vsichni ostatni uzivatele maji pokud vim pristup povolen. V. From dadans at gmail.com Wed May 13 08:02:01 2009 From: dadans at gmail.com (DadAN) Date: Wed, 13 May 2009 08:02:01 +0200 Subject: =?ISO-8859-2?Q?Re=3A_dotaz_ohledn=EC_SSH?= In-Reply-To: <4A0A4DD4.10005@keytec.cz> References: <4A080C44.70001@keytec.cz> <4A080F55.1020005@obluda.cz> <4A096659.9090005@keytec.cz> <4A096967.3090900@obluda.cz> <4A0A4DD4.10005@keytec.cz> Message-ID: 2009/5/13 Jaroslav Votruba : > instaloval jsem to ja a nejsem si vedomej toho, ze bych neco nastavoval. > UsePAM Enables the Pluggable Authentication Module interface. If set to ``yes'' this will enable PAM authentication using ChallengeResponseAuthentication and PasswordAuthentication in addition to PAM account and session module processing for all authentication types. Because PAM challenge-response authentication usually serves an equivalent role to password authentication, you should disable either PasswordAuthentication or ChallengeResponseAuthentication. If UsePAM is enabled, you will not be able to run sshd(8) as a non-root user. The default is ``yes''. Do pozornosti asi hlavne posledna veta z man sshd_config. -- DadAN From dan at obluda.cz Wed May 13 08:22:39 2009 From: dan at obluda.cz (Dan Lukes) Date: Wed, 13 May 2009 08:22:39 +0200 Subject: dotaz =?UTF-8?B?b2hsZWRuxJsgU1NI?= In-Reply-To: <4A0A4DD4.10005@keytec.cz> References: <4A080C44.70001@keytec.cz> <4A080F55.1020005@obluda.cz> <4A096659.9090005@keytec.cz> <4A096967.3090900@obluda.cz> <4A0A4DD4.10005@keytec.cz> Message-ID: <4A0A672F.6010807@obluda.cz> Jaroslav Votruba napsal/wrote, On 05/13/09 06:34: >> KDYBY to zpusoboval PAM, tak by to bylo v >> /etc/pam.d/sshd >> > tam je jen neco o natahovani *.so modulu No a to "neco" - to jest m- jake moduly, v jakem poradi a s jakymi parametry se natahuji urcuje celkove chovani. >> Defaultne to rozhodne zablokovane neni, > jak to ze ne? Kazdy freebsd, ke kterymu jsem se dostal mel povoleno > prihlaseni k ssh jen pro cleny skupiny wheel K tomu ti reknu jen tolik, ze kazde freebsd, ke kteremu jsem se dostal ja a bylo v defaultni kofiguraci melo pro SSH stejnou konfiguraci jako pro jina sitova pripojeni - to jest - vsichni krome UID 0. Za predpokladu, ze jak moje tak tvoje tvrzeni je pravdive jsme tak zjistili, ze mnoziny FreeBSD, se kterymi se potkavame, maji prazdny prunik ... Dokud nevis co to u tebe zakazuje, asi ti k tomu tezko rekne nekdo neco vic. Pust si sshd v debugovacim rezimu a zjisti si, proc uzivatele odmitne a treba se pohnem nekam dal. Dan From cizek.milan at seznam.cz Wed May 13 11:48:50 2009 From: cizek.milan at seznam.cz (=?us-ascii?Q?Cizek=2EMilan?=) Date: Wed, 13 May 2009 11:48:50 +0200 (CEST) Subject: =?us-ascii?Q?RE=3A=20PF=20nad=20bridge?= Message-ID: <2819.4959-7029-837589963-1242208130@seznam.cz> Ahoj, > > > stroj x.x.x.x je dostupny na kterem interface? > > > pokud je na rl0 tak muze byt problem, viz man pf.conf > > > > Internet---[WAN(fxp0)--LAN(rl0)]--192.168.1.12. Ten x.x.x.x je ve?ejn? IP > > stroje s apache, kter? se nal?z? ve WAN. > > Z BSD i stroje 192.168.1.12 je p??stup na x.x.x.x:8080 funk?n?. A? do > > okam?iku p?id?n? 192.168.1.12 do rdr pravidla. > > > ted sem si uvedomil ze ja to vlastne na bridge neprovozuju. > > Muzes vyzkouset na tom BSD rozjet nejaky HTTPD a smerovat pozadavky na > nej ? tak si s tim stale hraju. Momentalne resim jen PF (IPFW vyple, sysctl v defaultu). Pokud delam rdr na ten verejny stroj, tak tam dojdou, ale zpatky uz ne (checksum incorrect)... 15:05:42.717112 IP (tos 0x0, ttl 125, id 34025, offset 0, flags [DF], proto: TCP (6), length: 40) server.kpnetwork.cz.62813 > ns.pevnalinka.cz.8080: F, cksum 0xe391 (correct), 1521985854:1521985854(0) ack 4038246439 win 65535 15:05:42.717131 IP (tos 0x0, ttl 64, id 11052, offset 0, flags [DF], proto: TCP (6), length: 40) ns.pevnalinka.cz.8080 > server.kpnetwork.cz.62808: R, cksum 0x029e (incorrect (-> 0x495f), 2706157000:2706157000(0) win 0 Zkusil jsem take smerovat an localhost apache. Tam se to chova tak, ze v tcpdumpu vidim presmerovani na localhost, nicmene zadne pakety opacnym smerem se nevraci. Apache take nezaloguje zadny pristup. > rdr pass log on $int_if proto tcp from to any port 80 -> localhost > 80 Presne tohle jsem zkousel. Milan From dan at obluda.cz Wed May 13 12:01:33 2009 From: dan at obluda.cz (Dan Lukes) Date: Wed, 13 May 2009 12:01:33 +0200 Subject: PF nad bridge In-Reply-To: <2819.4959-7029-837589963-1242208130@seznam.cz> References: <2819.4959-7029-837589963-1242208130@seznam.cz> Message-ID: <4A0A9A7D.3030309@obluda.cz> On 13.5.2009 11:48, Cizek.Milan: > 15:05:42.717131 ... ns.pevnalinka.cz.8080> server.kpnetwork.cz.62808: R, cksum 0x029e (incorrect (-> 0x495f) Jestli je to dump porizeny na stroji ns.pevnalinka.cz na karte se zapnutou hardwarovou akceleraci vypoctu checksumu (txcsum) tak to neni chyba, ale vlastnost. Tcpdump paket dostane samozrejme pred tim, nez je tento predan hardwaru karty k odeslani - a spravny checksum se pocita teprve uvnitr karty. Pokud na prijimaci strane prichazi paket se spravnym checksumem, tak zde neni zadny duvod ke znepokojeni. Kdyby te to presto rozcilovalo, tak po dobu pokusu vypni hardwarovou akceleraci. Dan From jaroslav.votruba at keytec.cz Wed May 13 12:17:52 2009 From: jaroslav.votruba at keytec.cz (Jaroslav Votruba) Date: Wed, 13 May 2009 12:17:52 +0200 Subject: dotaz =?UTF-8?B?b2hsZWRuxJsgU1NI?= In-Reply-To: <4A0A672F.6010807@obluda.cz> References: <4A080C44.70001@keytec.cz> <4A080F55.1020005@obluda.cz> <4A096659.9090005@keytec.cz> <4A096967.3090900@obluda.cz> <4A0A4DD4.10005@keytec.cz> <4A0A672F.6010807@obluda.cz> Message-ID: <4A0A9E50.2080900@keytec.cz> >> jak to ze ne? Kazdy freebsd, ke kterymu jsem se dostal mel povoleno >> prihlaseni k ssh jen pro cleny skupiny wheel > > K tomu ti reknu jen tolik, ze kazde freebsd, ke kteremu jsem se dostal > ja a bylo v defaultni kofiguraci melo pro SSH stejnou konfiguraci jako > pro jina sitova pripojeni - to jest - vsichni krome UID 0. beru zpet. Jsem se blbe vyjadril. Prihlasit se muze kazdy, ale jen clen skupiny wheel se pak muze pres "su" prihlasit jako root Jak psal Dadan ohledne UsePAM na to jsem jiz koukal predtim, ale formulaci v?ty If UsePAM is enabled, you will not be able to run sshd(8) as a non-root user jsem pochopil , ze nebude schopny se prihlasit uzivatel, ktery neni rootem Takze jsem predpokladal, ze tato direktiva na to nema vliv From dan at obluda.cz Wed May 13 12:28:50 2009 From: dan at obluda.cz (Dan Lukes) Date: Wed, 13 May 2009 12:28:50 +0200 Subject: dotaz =?UTF-8?B?b2hsZWRuxJsgU1NI?= In-Reply-To: <4A0A9E50.2080900@keytec.cz> References: <4A080C44.70001@keytec.cz> <4A080F55.1020005@obluda.cz> <4A096659.9090005@keytec.cz> <4A096967.3090900@obluda.cz> <4A0A4DD4.10005@keytec.cz> <4A0A672F.6010807@obluda.cz> <4A0A9E50.2080900@keytec.cz> Message-ID: <4A0AA0E2.7010307@obluda.cz> On 13.5.2009 12:17, Jaroslav Votruba: > Prihlasit se muze kazdy, ale jen clen > skupiny wheel se pak muze pres "su" prihlasit jako root Tak proc mluvis o SSH, kdyz problem mas se 'su' ? Toto chovani 'su' je defaultni pro vsechna nelokalni pripojeni - FTP, telnet, IMAP - a ano, i SSH. Definovano je v /etc/pam.d/su Na to DOBRY (konkretne bezpecnostni) duvod, proc je to nastaveno prave takto. Vetsinu veci, ktere lze vyresit povolenim 'su' na roota odkudkoliv lze resit i jinak, mene nebezpecne. Pokud se to chystas zmenit, byl's varovan - ale jinak je to, samozrejme, na tobe. Dan From indigo at eiecon.net Wed May 13 12:30:23 2009 From: indigo at eiecon.net (Indigo) Date: Wed, 13 May 2009 12:30:23 +0200 Subject: =?utf-8?B?ZG90YXogb2hsZWRuxJsgU1NI?= In-Reply-To: <4A0A9E50.2080900@keytec.cz> References: <4A080C44.70001@keytec.cz> <4A080F55.1020005@obluda.cz> <4A096659.9090005@keytec.cz> <4A096967.3090900@obluda.cz> <4A0A4DD4.10005@keytec.cz> <4A0A672F.6010807@obluda.cz> <4A0A9E50.2080900@keytec.cz> Message-ID: On Wed, 13 May 2009 12:17:52 +0200, Jaroslav Votruba wrote: > > >>> jak to ze ne? Kazdy freebsd, ke kterymu jsem se dostal mel povoleno >>> prihlaseni k ssh jen pro cleny skupiny wheel >> >> K tomu ti reknu jen tolik, ze kazde freebsd, ke kteremu jsem se dostal >> ja a bylo v defaultni kofiguraci melo pro SSH stejnou konfiguraci jako >> pro jina sitova pripojeni - to jest - vsichni krome UID 0. > beru zpet. Jsem se blbe vyjadril. Prihlasit se muze kazdy, ale jen clen > skupiny wheel se pak muze pres "su" prihlasit jako root cat /etc/pam.d/su ... auth requisite pam_group.so no_warn group=wheel root_only fail_safe ... Tadaaaaaa V. From jaroslav.votruba at keytec.cz Wed May 13 13:37:03 2009 From: jaroslav.votruba at keytec.cz (Jaroslav Votruba) Date: Wed, 13 May 2009 13:37:03 +0200 Subject: dotaz =?UTF-8?B?b2hsZWRuxJsgU1NI?= In-Reply-To: <4A0AA0E2.7010307@obluda.cz> References: <4A080C44.70001@keytec.cz> <4A080F55.1020005@obluda.cz> <4A096659.9090005@keytec.cz> <4A096967.3090900@obluda.cz> <4A0A4DD4.10005@keytec.cz> <4A0A672F.6010807@obluda.cz> <4A0A9E50.2080900@keytec.cz> <4A0AA0E2.7010307@obluda.cz> Message-ID: <4A0AB0DF.6030008@keytec.cz> > > > Definovano je v /etc/pam.d/su > > Na to DOBRY (konkretne bezpecnostni) duvod, proc je to nastaveno prave > takto. Vetsinu veci, ktere lze vyresit povolenim 'su' na roota > odkudkoliv lze resit i jinak, mene nebezpecne. Pokud se to chystas > zmenit, byl's varovan - ale jinak je to, samozrejme, na tobe. > > Dan > -- diky. K tomu jsem se chtel propracovat,ale blbe jsem se holt zeptal. Nic menit nechci. Jen me to zajimalo, jak to funguje. V soucasnosti pro me tato informace nema prakticky vyznam, ale v budoucnu se muze hodit. Jarda From jaroslav.votruba at keytec.cz Thu May 14 10:53:38 2009 From: jaroslav.votruba at keytec.cz (Jaroslav Votruba) Date: Thu, 14 May 2009 10:53:38 +0200 Subject: ssh a subsystemy Message-ID: <4A0BDC12.6000503@keytec.cz> chtel bych se zeptat jak je to se subsystemy v Freebsd. Co jsem si nastudoval, tak v configu demona staci uvest subsystem-jmenoPrikazu CestaKeScriptu(nebo prikaz) #pro ssh1 subsystem jmenoPrikazu CestaKeScriptu(nebo prikaz) #pro ssh2 a pak jej zavolat ssh -s jmenoPrikazu uzivak at IP nicmene je zde jeden malej problem. SSH nejak nechce spolupracovat. pri pokusu o pripojeni na vzdaleny pocitac dostanu pokazde toto test63# ssh -s test votruba at 192.168.0.6 ssh: test: hostname nor servname provided, or not known bez parametru -s ssh samozrejme funguje v configu mam Subsystem test<><------><------>/root/scripty/test.sh kde ve scriptu je jen nejake echo pouzival jste to nekdy nekdo, nebo mate s timto nejake zkusennosti (ted vubec neberu, ze jako subsystem je i sftp) Jarda From jf at devnull.cz Thu May 14 11:01:39 2009 From: jf at devnull.cz (Jan Friedel) Date: Thu, 14 May 2009 11:01:39 +0200 Subject: ssh a subsystemy In-Reply-To: <4A0BDC12.6000503@keytec.cz> References: <4A0BDC12.6000503@keytec.cz> Message-ID: <20090514090139.GL14417@rax.devnull.cz> On Thu, May 14, 2009 at 10:53:38AM +0200, Jaroslav Votruba wrote: > chtel bych se zeptat jak je to se subsystemy v Freebsd. Co jsem si > nastudoval, tak v configu demona staci uvest > subsystem-jmenoPrikazu CestaKeScriptu(nebo prikaz) #pro ssh1 > subsystem jmenoPrikazu CestaKeScriptu(nebo prikaz) #pro ssh2 > > a pak jej zavolat > ssh -s jmenoPrikazu uzivak at IP > > nicmene je zde jeden malej problem. SSH nejak nechce spolupracovat. > pri pokusu o pripojeni na vzdaleny pocitac dostanu pokazde toto > > test63# ssh -s test votruba at 192.168.0.6 > ssh: test: hostname nor servname provided, or not known Me vzdy fungovalo: ssh @ "" kde muze mit vystup na stdout a muzu pak pouzit treba pipu pro zpracovani na lokalnim stroji. Trivialni priklad muze byt: ssh hf at host1 "(cd /nekam && tar cyf - ./addr)" | tar xvyf - > > bez parametru -s ssh samozrejme funguje > > > v configu mam > Subsystem test<><------><------>/root/scripty/test.sh > > kde ve scriptu je jen nejake echo > > pouzival jste to nekdy nekdo, nebo mate s timto nejake zkusennosti (ted > vubec neberu, ze jako subsystem je i sftp) > Jarda /h. From indigo at eiecon.net Thu May 14 11:07:23 2009 From: indigo at eiecon.net (Indigo) Date: Thu, 14 May 2009 11:07:23 +0200 Subject: ssh a subsystemy In-Reply-To: <20090514090139.GL14417@rax.devnull.cz> References: <4A0BDC12.6000503@keytec.cz> <20090514090139.GL14417@rax.devnull.cz> Message-ID: On Thu, 14 May 2009 11:01:39 +0200, Jan Friedel wrote: > On Thu, May 14, 2009 at 10:53:38AM +0200, Jaroslav Votruba wrote: >> chtel bych se zeptat jak je to se subsystemy v Freebsd. Co jsem si >> nastudoval, tak v configu demona staci uvest >> subsystem-jmenoPrikazu CestaKeScriptu(nebo prikaz) #pro ssh1 >> subsystem jmenoPrikazu CestaKeScriptu(nebo prikaz) #pro ssh2 >> >> a pak jej zavolat >> ssh -s jmenoPrikazu uzivak at IP >> >> nicmene je zde jeden malej problem. SSH nejak nechce spolupracovat. >> pri pokusu o pripojeni na vzdaleny pocitac dostanu pokazde toto >> >> test63# ssh -s test votruba at 192.168.0.6 >> ssh: test: hostname nor servname provided, or not known >> >> bez parametru -s ssh samozrejme funguje >> >> >> v configu mam >> Subsystem test<><------><------>/root/scripty/test.sh >> >> kde ve scriptu je jen nejake echo >> >> pouzival jste to nekdy nekdo, nebo mate s timto nejake zkusennosti (ted >> vubec neberu, ze jako subsystem je i sftp) >> Jarda Z manu: ssh [-1246AaCfgKkMNnqsTtVvXxY] .... [user@]hostname [command] -s May be used to request invocation of a subsystem on the remote system. Subsystems are a feature of the SSH2 protocol which facilitate the use of SSH as a secure transport for other appli- cations (eg. sftp(1)). The subsystem is specified as the remote command. Takze bych rekl ze korektni invokace subsystemu je: ssh -s votruba at 192.168.0.6 test V. From jaroslav.votruba at keytec.cz Thu May 14 12:03:50 2009 From: jaroslav.votruba at keytec.cz (Jaroslav Votruba) Date: Thu, 14 May 2009 12:03:50 +0200 Subject: ssh a subsystemy In-Reply-To: References: <4A0BDC12.6000503@keytec.cz> <20090514090139.GL14417@rax.devnull.cz> Message-ID: <4A0BEC86.3050205@keytec.cz> Indigo napsal(a): > > > Takze bych rekl ze korektni invokace subsystemu je: > ssh -s votruba at 192.168.0.6 test > > V. Bingo, je to krok spravnym smerem. Ja jsem vychazel primo z http://www.ssh.com/support/documentation/online/ssh/adminguide/32/Subsystems.html, kde pisi $ ssh2 -s user at remote sice jsem dostal hl?sku o chybe, ale to bylo zpusobeno chybejicimi pravy(nebo to muze byt spatnou cestou) test63# ssh votruba at 192.168.0.6 -s test Password: Request for subsystem 'test' failed on channel 0 diky From dan at obluda.cz Thu May 14 12:21:51 2009 From: dan at obluda.cz (Dan Lukes) Date: Thu, 14 May 2009 12:21:51 +0200 Subject: ssh a subsystemy In-Reply-To: References: <4A0BDC12.6000503@keytec.cz> <20090514090139.GL14417@rax.devnull.cz> Message-ID: <4A0BF0BF.2050800@obluda.cz> Indigo wrote: > Takze bych rekl ze korektni invokace subsystemu je: > ssh -s votruba at 192.168.0.6 test To ano. Problem v uvaze zadavatele je, z emicha spusteni vzdaleneho scriptu a spusteni vzdaleneho subsystemu. Vzdaleny script se spousti jinak, jak uz tu taky padlo. Dan From rtomanek at epark.cz Thu May 14 22:14:11 2009 From: rtomanek at epark.cz (=?iso-8859-2?Q?Radom=EDr_Tom=E1nek?=) Date: Thu, 14 May 2009 22:14:11 +0200 Subject: OT - vi nekdo jak presne funguje microsofti RPC over HTTP? Message-ID: <200905142014.n4EKE8h1040345@dual.ms.mff.cuni.cz> Dobr? den, Omlouv?m se p?edem za OT, ale r?d bych se zeptal, jestli n?kdo nev?te, jak p?esn? funguje RPC over HTTP. Jde o komunikaci mezi Outlookem a MS Exchange 2003. V MS materi?lech se uv?d?, ?e je pot?eba na firewallu povolit a forwardovat porty 6000-6004, ale kdy? jsem p?i lad?n? probl?m? sledoval provoz, tak se mi to jev? jako ?e outlook za?ne komunikovat na port 443 (https), firewall packety p?ed? na exchange, kde je dek?duje IIS, na pomoc si zavol? n?jakou knihovnu rpcproxy.dll (nebo tak n?jak se to jmenuje) a odpov?? od serveru ke klientovi je zase zabalen? do https a poslan? zp?t. Pak ale nech?pu ten po?adavek na otev?en? port? 6000-6004. Na lok?ln? s?ti mi to funguje, ale z internetu ne. Tak nev?m. D?ky RaT From jozef.babjak at gmail.com Thu May 14 22:22:26 2009 From: jozef.babjak at gmail.com (Jozef Babjak) Date: Thu, 14 May 2009 22:22:26 +0200 Subject: Zistenie chybajucich zavislosti pred instalaciou portu. Message-ID: Zdravim! Pokial je to mozne, aplikacie instalujem kompilaciou so stromu portov. Pred instalaciou nejakeho portu, najma ked sa jedna o "pokusnu" instalaciu, pri ktorej nie som si ani isty, ci cielovy port skutocne potrebujem, si rad dopredu overim, ake su chybajuce build- a run- zavislosti portu, ktory mienim instalovat. Na tento ucel som si pred casom vytvoril shellovy skript. Kedze mi uz dlhsiu dobu tento skript sluzi, dnes som ho mierne prepracoval, asi 20x zrychlil oproti povodnej verzii, zdokumentoval, a ... chvila nechapaveho ticha ... publikoval. Takze kto ma zaujem, je tu: http://hilbert.chtf.stuba.sk/freebsd/fmd.sh.txt J. From jf at devnull.cz Thu May 14 22:35:15 2009 From: jf at devnull.cz (Jan Friedel) Date: Thu, 14 May 2009 22:35:15 +0200 Subject: OT - vi nekdo jak presne funguje microsofti RPC over HTTP? In-Reply-To: <200905142014.n4EKE8h1040345@dual.ms.mff.cuni.cz> References: <200905142014.n4EKE8h1040345@dual.ms.mff.cuni.cz> Message-ID: <20090514203515.GA33187@rax.devnull.cz> On Thu, May 14, 2009 at 10:14:11PM +0200, Radomr Tomnek wrote: > > Dobr? den, > Omlouv?m se p?edem za OT, ale r?d bych se zeptal, jestli n?kdo nev?te, jak > p?esn? funguje RPC over HTTP. Jde o komunikaci mezi Outlookem a MS Exchange > 2003. V MS materi?lech se uv?d?, ?e je pot?eba na firewallu povolit a > forwardovat porty 6000-6004, ale kdy? jsem p?i lad?n? probl?m? sledoval > provoz, tak se mi to jev? jako ?e outlook za?ne komunikovat na port 443 > (https), firewall packety p?ed? na exchange, kde je dek?duje IIS, na pomoc > si zavol? n?jakou knihovnu rpcproxy.dll (nebo tak n?jak se to jmenuje) a > odpov?? od serveru ke klientovi je zase zabalen? do https a poslan? zp?t. > Pak ale nech?pu ten po?adavek na otev?en? port? 6000-6004. Na lok?ln? s?ti > mi to funguje, ale z internetu ne. Tak nev?m. Bez vlastni zkusenosti: http://www.petri.co.il/how-can-i-configure-rpc-over-https-on-exchange-2003-single-server-scenario.htm Snad pomuze - ale jinak je to prvni polozka, kterou ti da google po zadani "exchange 2003 firewall ports". /hf. From indigo at eiecon.net Thu May 14 23:18:24 2009 From: indigo at eiecon.net (Indigo) Date: Thu, 14 May 2009 23:18:24 +0200 Subject: Zistenie chybajucich zavislosti pred instalaciou portu. In-Reply-To: References: Message-ID: On Thu, 14 May 2009 22:22:26 +0200, Jozef Babjak wrote: > Zdravim! > > Pokial je to mozne, aplikacie instalujem kompilaciou so stromu portov. > Pred instalaciou nejakeho portu, najma ked sa jedna o "pokusnu" > instalaciu, pri ktorej nie som si ani isty, ci cielovy port skutocne > potrebujem, si rad dopredu overim, ake su chybajuce build- a run- > zavislosti portu, ktory mienim instalovat. Na tento ucel som si pred > casom vytvoril shellovy skript. Kedze mi uz dlhsiu dobu tento skript > sluzi, dnes som ho mierne prepracoval, asi 20x zrychlil oproti > povodnej verzii, zdokumentoval, a ... chvila nechapaveho ticha ... > publikoval. Takze kto ma zaujem, je tu: > > http://hilbert.chtf.stuba.sk/freebsd/fmd.sh.txt > > J. Netusi nekdo jestli se neco podobneho neda udelat pomoci portupgrade? Neco jako portupgrade -rnN ? Pri par testech mi zrovna tohle vratilo jenom tu puvodni package. V. From mk7ygre33apsq23c at foo.sk Thu May 14 23:49:03 2009 From: mk7ygre33apsq23c at foo.sk (Richard Willmann) Date: Thu, 14 May 2009 23:49:03 +0200 Subject: OT - vi nekdo jak presne funguje microsofti RPC over HTTP? References: <200905142014.n4EKE8h1040345@dual.ms.mff.cuni.cz> <20090514203515.GA33187@rax.devnull.cz> Message-ID: > p?esn? funguje RPC over HTTP. Jde o komunikaci mezi Outlookem a MS > Exchange > 2003. V MS materi?lech se uv?d?, ?e je pot?eba na firewallu povolit a > forwardovat porty 6000-6004, ale kdy? jsem p?i lad?n? probl?m? sledoval > provoz, tak se mi to jev? jako ?e outlook za?ne komunikovat na port 443 > (https), firewall packety p?ed? na exchange, kde je dek?duje IIS, na pomoc > si zavol? n?jakou knihovnu rpcproxy.dll (nebo tak n?jak se to jmenuje) a > odpov?? od serveru ke klientovi je zase zabalen? do https a poslan? zp?t. > Pak ale nech?pu ten po?adavek na otev?en? port? 6000-6004. Na lok?ln? s?ti > mi to funguje, ale z internetu ne. Tak nev?m. Ako to funguje vnutri neviem. Asi mesiac dozadu sa s tym kolega trapil u jedneho zakaznika. Rozbehat tu sluzbu ako taku bolo celkom narocne. Najma ak je clovek zvyknuty sa obcas pozriet do zdrojakov. V kazdom pripade RPC over HTTP(S) robi presne to, ako sa to vola tj. bali RPC do HTTP(S). Tj. v nasom pripade sme na firewalle otvorili iba 443 co bolo dostatocne. d~ rwi From jan at dusatko.org Fri May 15 06:30:00 2009 From: jan at dusatko.org (=?windows-1250?B?RHWa4XRrbyBKYW4=?=) Date: Fri, 15 May 2009 06:30:00 +0200 Subject: Zistenie chybajucich zavislosti pred instalaciou portu. In-Reply-To: References: Message-ID: <012b01c9d515$cfa90580$6efb1080$@org> > Zdravim! > > Pokial je to mozne, aplikacie instalujem kompilaciou so stromu portov. > Pred instalaciou nejakeho portu, najma ked sa jedna o "pokusnu" > instalaciu, pri ktorej nie som si ani isty, ci cielovy port skutocne > potrebujem, si rad dopredu overim, ake su chybajuce build- a run- > zavislosti portu, ktory mienim instalovat. Na tento ucel som si pred > casom vytvoril shellovy skript. Kedze mi uz dlhsiu dobu tento skript > sluzi, dnes som ho mierne prepracoval, asi 20x zrychlil oproti > povodnej verzii, zdokumentoval, a ... chvila nechapaveho ticha ... > publikoval. Takze kto ma zaujem, je tu: > > http://hilbert.chtf.stuba.sk/freebsd/fmd.sh.txt > > J. Pekne, dik. Kdyz jsme u toho, mam jeden dotaz. Nevite n?kdo o nastroji, ktery zprocesuje vsechny package a udela napr v pseudografice strom zavislosti? Jde mi o udrzbu existujicich systemu, kde muze byt par "orphaned" package, ale nevim kter? z nich mohu vyhodit. Honza From rtomanek at epark.cz Fri May 15 08:07:51 2009 From: rtomanek at epark.cz (=?iso-8859-2?Q?Radom=EDr_Tom=E1nek?=) Date: Fri, 15 May 2009 08:07:51 +0200 Subject: OT - vi nekdo jak presne funguje microsofti RPC over HTTP? In-Reply-To: <20090514203515.GA33187@rax.devnull.cz> Message-ID: <200905150607.n4F67lFp059289@dual.ms.mff.cuni.cz> D?ky, mr.google mi tohle vyhodil taky a pak i spoustu jinych odkazu. Ale nejak jsem se nedozvedel, tak to opravdu funguje. Z toho, co jsem vypozoroval tak opravdu je na klientovi RPC po?adavek zabalen do https a odesl?n na exchange. Tam prob?hne rozbalen? https, "p?evod" zp?tky na RPC, zpracov?n? a v?sledek je op?t zabalen do http a odesl?n klientovi. Tak to ??k? tcpdump. Ale spojen? p?esto nefunguje. Pokud to ale testuji na LAN, nebo p?es VPN tak to norm?ln? funguje (samoz?ejm? outlook je st?le nastaven ke komunikaci rpcoverhttp). Tedy d?vod vid?m v komunikaci p?es internet - firewall. Vzhledem k tomu, ?e to nejede z n?kolika r?zn?ch klient? s?t?, tipl bych si, ?e vin?kem je n?? firewall. Jen?e ten je nastaven u? n?kolik m?s?c? stejn? (dokonce jsem kontroloval z?lohy konfigurace iptables) a beze zm?ny. Prost? to najednou p?estalo fungovat. Z?hada. Je?t? m? napad? ?e by mohl b?t probl?m v certifik?tech, kter? se pou?ij? pro https, ale ty taky vypadaj? v po??dku. Tak?e n?pady mi u? do?ly a pot?ebuji se n?kde dozv?d?t, jak to opravdu funguje...:o(( RaT -----Original Message----- From: users-l-bounces at freebsd.cz [mailto:users-l-bounces at freebsd.cz] On Behalf Of Jan Friedel Sent: Thursday, May 14, 2009 10:35 PM To: FreeBSD mailing list Subject: Re: OT - vi nekdo jak presne funguje microsofti RPC over HTTP? On Thu, May 14, 2009 at 10:14:11PM +0200, Radomr Tomnek wrote: > > Dobr? den, > Omlouv?m se p?edem za OT, ale r?d bych se zeptal, jestli n?kdo nev?te, jak > p?esn? funguje RPC over HTTP. Jde o komunikaci mezi Outlookem a MS Exchange > 2003. V MS materi?lech se uv?d?, ?e je pot?eba na firewallu povolit a > forwardovat porty 6000-6004, ale kdy? jsem p?i lad?n? probl?m? sledoval > provoz, tak se mi to jev? jako ?e outlook za?ne komunikovat na port 443 > (https), firewall packety p?ed? na exchange, kde je dek?duje IIS, na pomoc > si zavol? n?jakou knihovnu rpcproxy.dll (nebo tak n?jak se to jmenuje) a > odpov?? od serveru ke klientovi je zase zabalen? do https a poslan? zp?t. > Pak ale nech?pu ten po?adavek na otev?en? port? 6000-6004. Na lok?ln? s?ti > mi to funguje, ale z internetu ne. Tak nev?m. Bez vlastni zkusenosti: http://www.petri.co.il/how-can-i-configure-rpc-over-https-on-exchange-2003-s ingle-server-scenario.htm Snad pomuze - ale jinak je to prvni polozka, kterou ti da google po zadani "exchange 2003 firewall ports". /hf. -- FreeBSD mailing list (users-l at freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l From jan at dusatko.org Fri May 15 08:50:00 2009 From: jan at dusatko.org (=?windows-1250?B?RHWa4XRrbyBKYW4=?=) Date: Fri, 15 May 2009 08:50:00 +0200 Subject: OT - vi nekdo jak presne funguje microsofti RPC over HTTP? In-Reply-To: <200905150607.n4F67lFp059289@dual.ms.mff.cuni.cz> References: <20090514203515.GA33187@rax.devnull.cz> <200905150607.n4F67lFp059289@dual.ms.mff.cuni.cz> Message-ID: <013801c9d529$5df0d710$19d28530$@org> Pro studium doporucuji apache modul rpc_proxy (nevzpomenu si presne na spravny nazev), ktery umoznuje prevod http komunikace na rpc a pripojeni p?es rpc do exchange. Pri jednom komplikovanejsim nastaveni jsem ho byl nucen pouzit. Pokud se pouziva https, byva problem s certifikaty. Zkuste nejprve klasicke http, az pozdeji https. Tim se eliminuje jeden mozny zdroj problemu. Tusim, ze tenkrat jsem prave pres APACHE delal branu pro https. Honza > D?ky, mr.google mi tohle vyhodil taky a pak i spoustu jinych odkazu. > Ale > nejak jsem se nedozvedel, tak to opravdu funguje. > Z toho, co jsem vypozoroval tak opravdu je na klientovi RPC po?adavek > zabalen do https a odesl?n na exchange. Tam prob?hne rozbalen? https, > "p?evod" zp?tky na RPC, zpracov?n? a v?sledek je op?t zabalen do http a > odesl?n klientovi. Tak to ??k? tcpdump. Ale spojen? p?esto nefunguje. > Pokud > to ale testuji na LAN, nebo p?es VPN tak to norm?ln? funguje > (samoz?ejm? > outlook je st?le nastaven ke komunikaci rpcoverhttp). Tedy d?vod vid?m > v > komunikaci p?es internet - firewall. Vzhledem k tomu, ?e to nejede z > n?kolika r?zn?ch klient? s?t?, tipl bych si, ?e vin?kem je n?? > firewall. > Jen?e ten je nastaven u? n?kolik m?s?c? stejn? (dokonce jsem > kontroloval > z?lohy konfigurace iptables) a beze zm?ny. Prost? to najednou p?estalo > fungovat. Z?hada. > Je?t? m? napad? ?e by mohl b?t probl?m v certifik?tech, kter? se > pou?ij? pro > https, ale ty taky vypadaj? v po??dku. Tak?e n?pady mi u? do?ly a > pot?ebuji > se n?kde dozv?d?t, jak to opravdu funguje...:o(( > > RaT > > Dobr? den, > > Omlouv?m se p?edem za OT, ale r?d bych se zeptal, jestli n?kdo > nev?te, jak > > p?esn? funguje RPC over HTTP. Jde o komunikaci mezi Outlookem a MS > Exchange > > 2003. V MS materi?lech se uv?d?, ?e je pot?eba na firewallu povolit a > > forwardovat porty 6000-6004, ale kdy? jsem p?i lad?n? probl?m? > sledoval > > provoz, tak se mi to jev? jako ?e outlook za?ne komunikovat na port > 443 > > (https), firewall packety p?ed? na exchange, kde je dek?duje IIS, na > pomoc > > si zavol? n?jakou knihovnu rpcproxy.dll (nebo tak n?jak se to > jmenuje) a > > odpov?? od serveru ke klientovi je zase zabalen? do https a poslan? > zp?t. > > Pak ale nech?pu ten po?adavek na otev?en? port? 6000-6004. Na lok?ln? > s?ti > > mi to funguje, ale z internetu ne. Tak nev?m. > > Bez vlastni zkusenosti: > > http://www.petri.co.il/how-can-i-configure-rpc-over-https-on-exchange- > 2003-s > ingle-server-scenario.htm > > Snad pomuze - ale jinak je to prvni polozka, kterou ti da google > po zadani "exchange 2003 firewall ports". > > /hf. > > -- > FreeBSD mailing list (users-l at freebsd.cz) > http://www.freebsd.cz/listserv/listinfo/users-l > > -- > FreeBSD mailing list (users-l at freebsd.cz) > http://www.freebsd.cz/listserv/listinfo/users-l From 000.fbsd at quip.cz Fri May 15 12:06:09 2009 From: 000.fbsd at quip.cz (Miroslav Lachman) Date: Fri, 15 May 2009 12:06:09 +0200 Subject: Zistenie chybajucich zavislosti pred instalaciou portu. In-Reply-To: References: Message-ID: <4A0D3E91.8040404@quip.cz> Indigo wrote: > On Thu, 14 May 2009 22:22:26 +0200, Jozef Babjak > wrote: > >> Zdravim! >> >> Pokial je to mozne, aplikacie instalujem kompilaciou so stromu portov. >> Pred instalaciou nejakeho portu, najma ked sa jedna o "pokusnu" >> instalaciu, pri ktorej nie som si ani isty, ci cielovy port skutocne >> potrebujem, si rad dopredu overim, ake su chybajuce build- a run- >> zavislosti portu, ktory mienim instalovat. Na tento ucel som si pred >> casom vytvoril shellovy skript. Kedze mi uz dlhsiu dobu tento skript >> sluzi, dnes som ho mierne prepracoval, asi 20x zrychlil oproti >> povodnej verzii, zdokumentoval, a ... chvila nechapaveho ticha ... >> publikoval. Takze kto ma zaujem, je tu: >> >> http://hilbert.chtf.stuba.sk/freebsd/fmd.sh.txt >> > > Netusi nekdo jestli se neco podobneho neda udelat pomoci portupgrade? > > Neco jako portupgrade -rnN ? > > Pri par testech mi zrovna tohle vratilo jenom tu puvodni package. portupgrade nepouzivam, ale kdyz uz se tu tohle tema nakouslo, tak napriklad portmaster to umi takhle: ~/# portmaster --show-work www/lighttpd ===>>> Port directory: /usr/ports/www/lighttpd ===>>> Starting check for all dependencies ===>>> Gathering dependency list for www/lighttpd from ports ===>>> Installed devel/libtool15 ===>>> Installed devel/pcre ===>>> NOT INSTALLED www/spawn-fcgi Z vypisu je tedy patrne, ze libtool15 a pcre nainstalovano uz je a spawn-fcgi je zatim chybejici zavislost. Timto vypisem prace portmasteru skonci, pro vlastni instalaci je potreba ho zavolat bez parametru --show-work. Mirek From filip.huska at coolhousing.net Fri May 15 16:13:50 2009 From: filip.huska at coolhousing.net (Filip Huska) Date: Fri, 15 May 2009 16:13:50 +0200 Subject: Upgrade mixovaneho systemu baliku/portu Message-ID: <4A0D789E.7090808@coolhousing.net> Zdravim, mozna je to hloupy dotaz, ale nikde jsem to nenasel. Celkem bojuju s upgradem baliku/portu. Cast systemu jsou porty ... neco je balik, jako treba openoffice.org ... coz povazuju za zvrhlost - subjektivne - kompilovat. Jde o to ze bych chtel updatnout oboje ... zatim vyuzivam postup : portsnap fetch portsnap update portmanager -u Jenze to se mi zacnou kompilovat i openofficy, co mam v baliku pres pkg_add ... Jestli nekde jiz tohle bylo reseno, nenasel jsem, staci link ... Chtel bych nejaky postup, ja zupgradovat jak baliky, tak porty ... porty vim ... problem viz nahore. Diky f. From 000.fbsd at quip.cz Fri May 15 16:33:31 2009 From: 000.fbsd at quip.cz (Miroslav Lachman) Date: Fri, 15 May 2009 16:33:31 +0200 Subject: Upgrade mixovaneho systemu baliku/portu In-Reply-To: <4A0D789E.7090808@coolhousing.net> References: <4A0D789E.7090808@coolhousing.net> Message-ID: <4A0D7D3B.2040503@quip.cz> Filip Huska wrote: > Zdravim, > mozna je to hloupy dotaz, ale nikde jsem to nenasel. Celkem bojuju s > upgradem baliku/portu. Cast systemu jsou porty ... neco je balik, jako > treba openoffice.org ... coz povazuju za zvrhlost - subjektivne - > kompilovat. > Jde o to ze bych chtel updatnout oboje ... zatim vyuzivam postup : > portsnap fetch > portsnap update > portmanager -u > > Jenze to se mi zacnou kompilovat i openofficy, co mam v baliku pres > pkg_add ... > Jestli nekde jiz tohle bylo reseno, nenasel jsem, staci link ... > Chtel bych nejaky postup, ja zupgradovat jak baliky, tak porty ... porty > vim ... problem viz nahore. > Diky V nainstalovanem stavu se balik od portu IMHO nicim nelisi, takze nelze rozpoznat, co je balik a co byl kompilovany port. Tudiz je pouze na administratorovi, aby vedel, co chce instalovat z portu, to vsechno upgradnul z portu a pak teprve rucne upgradovat jeste binarni baliky. (a k tomu je potreba znat vztahy zavislosti, aby se mi nezacalo kompilovat neco, co nechci, jako zavislost neceho jineho) Pokud se pletu, tak me nekdo opravte. Mirek From filip.huska at coolhousing.net Fri May 15 16:42:45 2009 From: filip.huska at coolhousing.net (Filip Huska) Date: Fri, 15 May 2009 16:42:45 +0200 Subject: Upgrade mixovaneho systemu baliku/portu In-Reply-To: <4A0D7D3B.2040503@quip.cz> References: <4A0D789E.7090808@coolhousing.net> <4A0D7D3B.2040503@quip.cz> Message-ID: <4A0D7F65.3020905@coolhousing.net> Miroslav Lachman wrote: > Filip Huska wrote: >> Zdravim, >> mozna je to hloupy dotaz, ale nikde jsem to nenasel. Celkem bojuju s >> upgradem baliku/portu. Cast systemu jsou porty ... neco je balik, >> jako treba openoffice.org ... coz povazuju za zvrhlost - subjektivne >> - kompilovat. >> Jde o to ze bych chtel updatnout oboje ... zatim vyuzivam postup : >> portsnap fetch >> portsnap update >> portmanager -u >> >> Jenze to se mi zacnou kompilovat i openofficy, co mam v baliku pres >> pkg_add ... >> Jestli nekde jiz tohle bylo reseno, nenasel jsem, staci link ... >> Chtel bych nejaky postup, ja zupgradovat jak baliky, tak porty ... >> porty vim ... problem viz nahore. >> Diky > > V nainstalovanem stavu se balik od portu IMHO nicim nelisi, takze > nelze rozpoznat, co je balik a co byl kompilovany port. Tudiz je pouze > na administratorovi, aby vedel, co chce instalovat z portu, to vsechno > upgradnul z portu a pak teprve rucne upgradovat jeste binarni baliky. > (a k tomu je potreba znat vztahy zavislosti, aby se mi nezacalo > kompilovat neco, co nechci, jako zavislost neceho jineho) > > Pokud se pletu, tak me nekdo opravte. > > Mirek > -- > FreeBSD mailing list (users-l at freebsd.cz) > http://www.freebsd.cz/listserv/listinfo/users-l > Tato myslenka trochu znemoznuje automaticky upgrade napriklad pres cron, bez scriptovani a lokalni male databaze portu/baliku ... Cekal bych, ze toto bude nejaky mamagment program baliku/portu, co to zmakne, s parametry ... f. From dan at obluda.cz Sat May 16 00:40:33 2009 From: dan at obluda.cz (Dan Lukes) Date: Fri, 15 May 2009 22:40:33 +0000 Subject: Upgrade mixovaneho systemu baliku/portu In-Reply-To: <4A0D789E.7090808@coolhousing.net> References: <4A0D789E.7090808@coolhousing.net> Message-ID: <4A0DEF61.4080802@obluda.cz> Filip Huska wrote: > Jenze to se mi zacnou kompilovat i openofficy, co mam v baliku pres > pkg_add ... Jestlize jsou zastarale, pak spusteni systemu na aktualizaci je proste bude chtit zaktualizovat. Pokdu ej nechces prekladat, nezbyva ti, nez je zaktualizovat (driv) rucne - stahnutim noveho baliku a pkg_delete/pkg_add ... Alternativne lze rict, ze nektere konkretni baliky se nemaji upgradovat vubec - alespon v portupgrade systemu to jde, jak v portmgr nevim. Dan From jan at dusatko.org Fri May 15 17:33:01 2009 From: jan at dusatko.org (=?windows-1250?B?RHWa4XRrbyBKYW4=?=) Date: Fri, 15 May 2009 17:33:01 +0200 Subject: Upgrade mixovaneho systemu baliku/portu In-Reply-To: <4A0DEF61.4080802@obluda.cz> References: <4A0D789E.7090808@coolhousing.net> <4A0DEF61.4080802@obluda.cz> Message-ID: <018801c9d572$6ed1c8c0$4c755a40$@org> > Filip Huska wrote: > > Jenze to se mi zacnou kompilovat i openofficy, co mam v baliku pres > > pkg_add ... > > Jestlize jsou zastarale, pak spusteni systemu na aktualizaci je proste > bude chtit zaktualizovat. Pokdu ej nechces prekladat, nezbyva ti, nez > je > zaktualizovat (driv) rucne - stahnutim noveho baliku a > pkg_delete/pkg_add ... > > Alternativne lze rict, ze nektere konkretni baliky se nemaji upgradovat > vubec - alespon v portupgrade systemu to jde, jak v portmgr nevim. > > Dan Omlouvam se za rozsahlejsi pripominku: Nevim jak kdo jiny, ale pouzivam nasledujici postup, privitam jakekoliv navrhy ci doplneni: 1) Upgrade src pomoci csup 2) Presun pkgdb databaze (obcas se tim clovek vyhne pkgdb -F) /bin/mv /var/db/pkg/pkgdb.db /var/db/pkg/pkgdb.db.old 3) Upgrade portu portsnap /usr/sbin/portsnap fetch /usr/sbin/portsnap extract /usr/sbin/portsnap update 4) Vycisteni starych baliku /usr/local/sbin/portsdb -Ff /usr/local/sbin/portsclean -CDLP 5) Pouhe stazeni zdrojaku p?ed kompilacemi (pro potrebne upgrade) /usr/local/sbin/portversion -vO | /usr/bin/grep '<' | /usr/bin/awk '{ print $1 }' | /usr/bin/xargs /usr/local/sbin/portupgrade -fF 6) tady by nemuselo byt spatne pouzit pro upgrade package primo, treba takovy OpenOffice, Koffice, KDE nebo neco jineho, podobne velkeho. Tusim by to m?lo jit timto zpusobem: /usr/bin/xargs /usr/local/sbin/portupgrade -PP {port} 7) Upgrade z portu /usr/local/sbin/portversion -vO | /usr/bin/grep '<' | /usr/bin/awk '{ print $1 }' | /usr/bin/xargs /usr/local/sbin/portupgrade -fybep 8) Opravy potencialnich problemu v Perlu /usr/local/bin/perl-after-upgrade -f 9) Restart sluzeb. Bod 5 nemam zat?m resen, body 6,7,8,9 delam jednou za cas. K tomu otazky: Q1: Je dulezite kompilovat kernel a world pred, nebo je uplne jedno poradi? Dle meho mohou byt konkretni zavislosti na urcitych feature, ktere nasledne ovlivnuji chod kompilovanych aplikaci. Q2: Je mozne najit porty, ktere nejsou potrebne pro zadne jine porty ? Nebo nejaky strom zavislosti, ktery neni uz pro nic potreba ? Jde mi napr. o Perl moduly, knihovny a dalsi balast, ktery po deinstalaci nekterych portu uz v systemu pouze zabira m?sto. Honza From jozef.babjak at gmail.com Fri May 15 19:08:30 2009 From: jozef.babjak at gmail.com (Jozef Babjak) Date: Fri, 15 May 2009 19:08:30 +0200 Subject: Upgrade mixovaneho systemu baliku/portu In-Reply-To: <4A0D789E.7090808@coolhousing.net> References: <4A0D789E.7090808@coolhousing.net> Message-ID: > Jenze to se mi zacnou kompilovat i openofficy, co mam v baliku pres pkg_add > ... > Jestli nekde jiz tohle bylo reseno, nenasel jsem, staci link ... > Chtel bych nejaky postup, ja zupgradovat jak baliky, tak porty ... porty vim > ... problem viz nahore. ^-- Nejde to vyriesit pomocou portupgrade a prepinacov: -x - vynecha baliky, ktore sa matchnu podla -P - na aktualizaciu pouzije balik, ak je dostupny, inak kompiluje -PP - aktualizuje iba tie, ktore je mozne aktualizovat z balika, nic nekompiluje. Tusim sa da vynutit aktualizacia iba z balika nastavenim v konfiguracnom subore, ktoreho meno neviem naspamat, nieco ako /usr/local/etc/pkgs.conf. Ale to fakt len tusim; kto ma zaujem si to lahko dohlada. Takze ja by som asi najskor skusil urobil portupgrade -bPP a potom portupgrade -abx kde v oboch pripadoch by matchoval tie porty, ktore nechcem kompilovat. Je to len idea, realne by to asi bolo zlozitejsie. Nakoniec by som len dodal, ze automaticky upgrade systemu pomocou cron-u vo vseobecnosti nepovazujem za stastny napad. Ono ten cron si /usr/ports/UPDATING neprecita, ze ano. Btw, mam FreeBSD 6.4 a nikde nemozem najst balik openoffice.org, ani skompilovat sa mi ho nedari. Je niekde dostupny balik OOo pre 6.4? J. From danger at FreeBSD.org Fri May 15 20:09:24 2009 From: danger at FreeBSD.org (Daniel Gerzo) Date: Fri, 15 May 2009 20:09:24 +0200 Subject: Zistenie chybajucich zavislosti pred instalaciou portu. In-Reply-To: <012b01c9d515$cfa90580$6efb1080$@org> References: <012b01c9d515$cfa90580$6efb1080$@org> Message-ID: <4A0DAFD4.9090203@FreeBSD.org> Du??tko Jan wrote: > Pekne, dik. Kdyz jsme u toho, mam jeden dotaz. Nevite n?kdo o nastroji, > ktery zprocesuje vsechny package a udela napr v pseudografice strom > zavislosti? Jde mi o udrzbu existujicich systemu, kde muze byt par > "orphaned" > package, ale nevim kter? z nich mohu vyhodit. root@[lightstorm /usr/ports]# make search name=pkg_tree Port: pkg_tree-1.1_1 Path: /usr/ports/ports-mgmt/pkg_tree Info: Get a 'graphical' tree-overview of installed packages Maint: edwin at mavetju.org B-deps: perl-5.8.9_2 R-deps: perl-5.8.9_2 WWW: http://www.mavetju.org/ -- S pozdravom / Best regards Daniel Gerzo, FreeBSD committer From danger at FreeBSD.org Sun May 17 10:31:07 2009 From: danger at FreeBSD.org (Daniel Gerzo) Date: Sun, 17 May 2009 10:31:07 +0200 Subject: Upgrade mixovaneho systemu baliku/portu In-Reply-To: <4A0D789E.7090808@coolhousing.net> References: <4A0D789E.7090808@coolhousing.net> Message-ID: <4A0FCB4B.1010006@FreeBSD.org> Filip Huska wrote: > Zdravim, > mozna je to hloupy dotaz, ale nikde jsem to nenasel. Celkem bojuju s > upgradem baliku/portu. Cast systemu jsou porty ... neco je balik, jako > treba openoffice.org ... coz povazuju za zvrhlost - subjektivne - > kompilovat. > Jde o to ze bych chtel updatnout oboje ... zatim vyuzivam postup : > portsnap fetch > portsnap update > portmanager -u > > Jenze to se mi zacnou kompilovat i openofficy, co mam v baliku pres > pkg_add ... > Jestli nekde jiz tohle bylo reseno, nenasel jsem, staci link ... > Chtel bych nejaky postup, ja zupgradovat jak baliky, tak porty ... porty > vim ... problem viz nahore. > Diky osobne nepouzivam portmanager-a, ale v portupgrade sa to da nakonfigurovat v pkgtools.conf pomocou tychto nastaveni: USE_PKGS = [] USE_PKGS_ONLY = [] -- S pozdravom / Best regards Daniel Gerzo, FreeBSD committer From jaroslav.votruba at keytec.cz Mon May 25 10:41:56 2009 From: jaroslav.votruba at keytec.cz (Jaroslav Votruba) Date: Mon, 25 May 2009 10:41:56 +0200 Subject: vylistovani casu vlozeni dynamickeho pravidla do IPFW Message-ID: <4A1A59D4.7010307@keytec.cz> necha se toto nejak provest? Co jsem koukal, tak s parametry [t, T] se necha vypsat, kdy se pravidlo pouzilo, ale ne kdy bylo dynamicky vytvorene. jarda From jozef.babjak at gmail.com Mon May 25 11:03:04 2009 From: jozef.babjak at gmail.com (Jozef Babjak) Date: Mon, 25 May 2009 11:03:04 +0200 Subject: vylistovani casu vlozeni dynamickeho pravidla do IPFW In-Reply-To: <4A1A59D4.7010307@keytec.cz> References: <4A1A59D4.7010307@keytec.cz> Message-ID: > necha se toto nejak provest? Co jsem koukal, tak s parametry [t, T] se necha > vypsat, kdy se pravidlo pouzilo, ale ne kdy bylo dynamicky vytvorene. ^-- Mozno som celkom nepochopil otazku, ale neslo by tento problem riesit na tej vrstve, ktora sa o vlozenie stara? Vestecka gula mi vravi, ze je tu nejaky IDS-like skript, ktory pridava do IPFW pravidla podla potreby, a Teba zaujima cas nastatia udalosti, ktora pridanie pravidla vyvolala. No, tak by som upravil ten "IDS-like skript" - whatever it means - aby okrem pridania pravidla do IPFW niekam zaloguje toto pravidlo a aktualny cas. J. From jaroslav.votruba at keytec.cz Mon May 25 12:23:23 2009 From: jaroslav.votruba at keytec.cz (Jaroslav Votruba) Date: Mon, 25 May 2009 12:23:23 +0200 Subject: vylistovani casu vlozeni dynamickeho pravidla do IPFW In-Reply-To: References: <4A1A59D4.7010307@keytec.cz> Message-ID: <4A1A719B.20501@keytec.cz> vestecka koule ma castecne pravdu. Ale je tu prave problem s tou "vrstvou" a to se mnou. Obcas pouziji na cas nejake pravidlo a pak jej zapomenu vymazat. Sice si je davam do urciteho rozsahu ruli, ale zrovna dneska jsem premyslel kdy a proc jsem nejake pravidlo vytvarel Jarda Jozef Babjak napsal(a): >> necha se toto nejak provest? Co jsem koukal, tak s parametry [t, T] se necha >> vypsat, kdy se pravidlo pouzilo, ale ne kdy bylo dynamicky vytvorene. >> > > ^-- Mozno som celkom nepochopil otazku, ale neslo by tento problem > riesit na tej vrstve, ktora sa o vlozenie stara? > > Vestecka gula mi vravi, ze je tu nejaky IDS-like skript, ktory pridava > do IPFW pravidla podla potreby, a Teba zaujima cas nastatia udalosti, > ktora pridanie pravidla vyvolala. No, tak by som upravil ten "IDS-like > skript" - whatever it means - aby okrem pridania pravidla do IPFW > niekam zaloguje toto pravidlo a aktualny cas. > > J. > -- > FreeBSD mailing list (users-l at freebsd.cz) > http://www.freebsd.cz/listserv/listinfo/users-l > From jozef.babjak at gmail.com Mon May 25 12:42:19 2009 From: jozef.babjak at gmail.com (Jozef Babjak) Date: Mon, 25 May 2009 12:42:19 +0200 Subject: vylistovani casu vlozeni dynamickeho pravidla do IPFW In-Reply-To: <4A1A719B.20501@keytec.cz> References: <4A1A59D4.7010307@keytec.cz> <4A1A719B.20501@keytec.cz> Message-ID: > vestecka koule ma castecne pravdu. Ale je tu prave problem s tou "vrstvou" a > to se mnou. Obcas pouziji na cas nejake pravidlo a pak jej zapomenu vymazat. > Sice si je davam do urciteho rozsahu ruli, ale zrovna dneska jsem premyslel > kdy a proc jsem nejake pravidlo vytvarel ^-- Takze o takyto IDS sa jedna. :-) Netechnicke problemy je zvycajne dobre riesit netechnickymi sposobmi. Presnejsie pre tento pripad, odporucam mat akukolvek nedefaultnu konfiguraciu zdokumentovanu; ano, aj pre moje-a-len-moje-jednorazove nastavenia. Ok, pojem "akukolvek konfiguraciu" treba brat pragmaticky a posudit, ci sa mi dane nastavenie podari rychlo zreplikovat bez dokumentacie a velkeho hlbania, a teda sa ho dokumentovat neoplati, alebo ci sa jedna o nastavenie, ktore [by] si vyzadovalu vyskum, experimentovanie, cas a usilie, a teda jeho zdokumentovanie ma cenu. Akekolvek nastavenie firewallu spada u mna jednoznacne do tej druhej kategorie. Pre tento specificky pripad, vedomost o case pridania pravidla Ti moze pomoct odhalit jeho zmysel, ale v ziadnom pripade Ti odhalenie zmyslu nezaruci. Mozes sa bezpecne spolahnut, ze si v kritickej chvili nespomenies co si robil pred tromi tyzdnami o 15.47 poobede. J. From pese at pese.sk Mon May 25 23:19:30 2009 From: pese at pese.sk (Peter Sedivy - PeSe) Date: Mon, 25 May 2009 23:19:30 +0200 Subject: FreeBSD 7 -Stable a kompilacia vo VMware Message-ID: <4A1B0B62.1030106@pese.sk> Zdravim pri stahnuti &-STABLE z cvs a spusteni make buildworld (system bezi ako virtual v ESXi serveri 3.5 U4), vyhodi chybu a zobrazi sa hlaska btxld: zfsboot.ldr: Invalid argument *** Error code 2 Stop in /usr/src/sys/boot/i386/zfsboot. *** Error code 1 je to asi nieco nove, http://groups.google.com/group/mailing.freebsd.stable/browse_thread/thread/28fc3e0500e1a65e# Vyzera, ze to pomohlo. PeSe From jozef.babjak at gmail.com Tue May 26 06:37:07 2009 From: jozef.babjak at gmail.com (Jozef Babjak) Date: Tue, 26 May 2009 06:37:07 +0200 Subject: FreeBSD 7 -Stable a kompilacia vo VMware In-Reply-To: <4A1B0B62.1030106@pese.sk> References: <4A1B0B62.1030106@pese.sk> Message-ID: Tu je riesenie s inym patchom: http://groups.google.cl/group/muc.lists.freebsd.stable/browse_thread/thread/ff848a63a19547ff# J. From jaroslav.votruba at keytec.cz Tue May 26 09:57:04 2009 From: jaroslav.votruba at keytec.cz (Jaroslav Votruba) Date: Tue, 26 May 2009 09:57:04 +0200 Subject: jak ziskat z logu posledni radku odpovidajici vzoru Message-ID: <4A1BA0D0.501@keytec.cz> potreboval bych z logu ziskavat pouze posledni radku odpovidajici vzoru. Zkousel jsem to sedem ,ale nevim jak adresovat tu posledni radku. Grepem by to slo s parametrem -m 1 pokud by ale cetl log od konce (pripadne mu to predat pajpou prevracene najakym programem). Mohli by jste me popostrcit? nechci pouzivat perl, protoze jej neznam. jarda From ivo at vutbr.cz Tue May 26 10:00:57 2009 From: ivo at vutbr.cz (Ivo Hazmuk) Date: Tue, 26 May 2009 10:00:57 +0200 Subject: jak ziskat z logu posledni radku odpovidajici vzoru In-Reply-To: <4A1BA0D0.501@keytec.cz> References: <4A1BA0D0.501@keytec.cz> Message-ID: <4A1BA1B9.4050803@vutbr.cz> Jaroslav Votruba wrote: > potreboval bych z logu ziskavat pouze posledni radku odpovidajici vzoru. > Zkousel jsem to sedem ,ale nevim jak adresovat tu posledni radku. Grepem > by to slo s parametrem -m 1 pokud by ale cetl log od konce (pripadne mu > to predat pajpou prevracene najakym programem). Mohli by jste me > popostrcit? > nechci pouzivat perl, protoze jej neznam. grep vzor file|tail -1 I. From jaroslav.votruba at keytec.cz Tue May 26 10:04:06 2009 From: jaroslav.votruba at keytec.cz (Jaroslav Votruba) Date: Tue, 26 May 2009 10:04:06 +0200 Subject: jak ziskat z logu posledni radku odpovidajici vzoru In-Reply-To: <4A1BA1B9.4050803@vutbr.cz> References: <4A1BA0D0.501@keytec.cz> <4A1BA1B9.4050803@vutbr.cz> Message-ID: <4A1BA276.2040803@keytec.cz> jak jednoduche, ja ne to sel celou dobu opacne nejdriv jsem tailoval a pak grepoval a vysledek me neuspokojil :-(( Diky jarda Ivo Hazmuk napsal(a): > Jaroslav Votruba wrote: >> potreboval bych z logu ziskavat pouze posledni radku odpovidajici >> vzoru. Zkousel jsem to sedem ,ale nevim jak adresovat tu posledni >> radku. Grepem by to slo s parametrem -m 1 pokud by ale cetl log od >> konce (pripadne mu to predat pajpou prevracene najakym programem). >> Mohli by jste me popostrcit? >> nechci pouzivat perl, protoze jej neznam. > > grep vzor file|tail -1 > > I. > -- > FreeBSD mailing list (users-l at freebsd.cz) > http://www.freebsd.cz/listserv/listinfo/users-l From vlasta at devnull.cz Tue May 26 10:18:39 2009 From: vlasta at devnull.cz (vlasta at devnull.cz) Date: Tue, 26 May 2009 10:18:39 +0200 (CEST) Subject: jak ziskat z logu posledni radku odpovidajici vzoru In-Reply-To: <4A1BA276.2040803@keytec.cz> References: <4A1BA0D0.501@keytec.cz> <4A1BA1B9.4050803@vutbr.cz> <4A1BA276.2040803@keytec.cz> Message-ID: On Tue, 26 May 2009, Jaroslav Votruba wrote: > jak jednoduche, ja ne to sel celou dobu opacne nejdriv jsem tailoval a pak > grepoval a vysledek me neuspokojil :-(( > Diky > jarda kdyz opacne, tak opacne: tail -r file | grep -m 1 vzor Vlasta > Ivo Hazmuk napsal(a): >> >> grep vzor file|tail -1 >> >> I. From neburka at volny.cz Tue May 26 10:53:37 2009 From: neburka at volny.cz (Jakub Neburka) Date: Tue, 26 May 2009 10:53:37 +0200 Subject: jak ziskat z logu posledni radku odpovidajici vzoru In-Reply-To: <4A1BA1B9.4050803@vutbr.cz> References: <4A1BA0D0.501@keytec.cz> <4A1BA1B9.4050803@vutbr.cz> Message-ID: <4A1BAE11.3090905@volny.cz> A co takhle vygrepovat v?echny odpov?daj?c? ??dky a z nich vybrat tu posledn?? grep vzor log | tail -n 1 Ivo Hazmuk wrote: > Jaroslav Votruba wrote: >> potreboval bych z logu ziskavat pouze posledni radku odpovidajici >> vzoru. Zkousel jsem to sedem ,ale nevim jak adresovat tu posledni >> radku. Grepem by to slo s parametrem -m 1 pokud by ale cetl log od >> konce (pripadne mu to predat pajpou prevracene najakym programem). >> Mohli by jste me popostrcit? >> nechci pouzivat perl, protoze jej neznam. > > grep vzor file|tail -1 > > I. > -- > FreeBSD mailing list (users-l at freebsd.cz) > http://www.freebsd.cz/listserv/listinfo/users-l > > From neburka at volny.cz Tue May 26 10:54:58 2009 From: neburka at volny.cz (Jakub Neburka) Date: Tue, 26 May 2009 10:54:58 +0200 Subject: jak ziskat z logu posledni radku odpovidajici vzoru In-Reply-To: <4A1BA0D0.501@keytec.cz> References: <4A1BA0D0.501@keytec.cz> Message-ID: <4A1BAE62.8070501@volny.cz> grep vzor log | grep -n 1 Jaroslav Votruba wrote: > potreboval bych z logu ziskavat pouze posledni radku odpovidajici > vzoru. Zkousel jsem to sedem ,ale nevim jak adresovat tu posledni > radku. Grepem by to slo s parametrem -m 1 pokud by ale cetl log od > konce (pripadne mu to predat pajpou prevracene najakym programem). > Mohli by jste me popostrcit? > nechci pouzivat perl, protoze jej neznam. > > jarda > ------------------------------------------------------------------------ > > -- > FreeBSD mailing list (users-l at freebsd.cz) > http://www.freebsd.cz/listserv/listinfo/users-l > From dan at obluda.cz Tue May 26 12:31:20 2009 From: dan at obluda.cz (Dan Lukes) Date: Tue, 26 May 2009 12:31:20 +0200 Subject: jak ziskat z logu posledni radku odpovidajici vzoru In-Reply-To: <4A1BA0D0.501@keytec.cz> References: <4A1BA0D0.501@keytec.cz> Message-ID: <4A1BC4F8.60806@obluda.cz> Jaroslav Votruba napsal/wrote, On 05/26/09 09:57: > potreboval bych z logu ziskavat pouze posledni radku odpovidajici vzoru. > Zkousel jsem to sedem Ten grep|tail je trivialni, ale kdyz sedem tak sedem :-) sed -n '/VZOR/h;$g;$p' Dan From dan at obluda.cz Tue May 26 12:57:16 2009 From: dan at obluda.cz (Dan Lukes) Date: Tue, 26 May 2009 12:57:16 +0200 Subject: vylistovani casu vlozeni dynamickeho pravidla do IPFW In-Reply-To: <4A1A719B.20501@keytec.cz> References: <4A1A59D4.7010307@keytec.cz> <4A1A719B.20501@keytec.cz> Message-ID: <4A1BCB0C.4040305@obluda.cz> Jaroslav Votruba napsal/wrote, On 05/25/09 12:23: > vestecka koule ma castecne pravdu. Ale je tu prave problem s tou > "vrstvou" a to se mnou. Obcas pouziji na cas nejake pravidlo a pak jej > zapomenu vymazat. Sice si je davam do urciteho rozsahu ruli, ale zrovna > dneska jsem premyslel kdy a proc jsem nejake pravidlo vytvarel Ke kazdemu pravidlu lze pri vkladani vlozit i textovou poznamku. V manualove strance od ipfw hledej text "this is a comment" Do komentare si dokazes napsat prakticky cokoliv, tedy i kdy a/nebo proc. Dan From jaroslav.votruba at keytec.cz Tue May 26 13:36:50 2009 From: jaroslav.votruba at keytec.cz (Jaroslav Votruba) Date: Tue, 26 May 2009 13:36:50 +0200 Subject: vylistovani casu vlozeni dynamickeho pravidla do IPFW In-Reply-To: <4A1BCB0C.4040305@obluda.cz> References: <4A1A59D4.7010307@keytec.cz> <4A1A719B.20501@keytec.cz> <4A1BCB0C.4040305@obluda.cz> Message-ID: <4A1BD452.7090407@keytec.cz> > > Ke kazdemu pravidlu lze pri vkladani vlozit i textovou poznamku. V > manualove strance od ipfw hledej text "this is a comment" > jo to jo, ale kdyz vkladam pravidlo dynamicky? To jsme se ale dostali trochu jinam. Nevite tedy, jestli se necha zjistit cas/datum vlozeni toho dynamickeho pravidla jarda From dan at obluda.cz Tue May 26 13:48:06 2009 From: dan at obluda.cz (Dan Lukes) Date: Tue, 26 May 2009 13:48:06 +0200 Subject: vylistovani casu vlozeni dynamickeho pravidla do IPFW In-Reply-To: <4A1BD452.7090407@keytec.cz> References: <4A1A59D4.7010307@keytec.cz> <4A1A719B.20501@keytec.cz> <4A1BCB0C.4040305@obluda.cz> <4A1BD452.7090407@keytec.cz> Message-ID: <4A1BD6F6.8010304@obluda.cz> Jaroslav Votruba napsal/wrote, On 05/26/09 13:36: >> Ke kazdemu pravidlu lze pri vkladani vlozit i textovou poznamku. V >> manualove strance od ipfw hledej text "this is a comment" >> > jo to jo, ale kdyz vkladam pravidlo dynamicky? To jsme se ale dostali > trochu jinam. Nevite tedy, jestli se necha zjistit cas/datum vlozeni > toho dynamickeho pravidla Nevim, cemu rikas "vkladam pravidla dynamicky". IPFW zna pojem "dynamicke pravidlo" a to vznika jako dusledek keep-state u jineho pravidla. Takova pravidla ale nevkladas primo ty. Naznacoval jsi, ze jde o pravidla, tkera jsi kdysi vlozil a nemapatujes si kdy a proc. Navic jsi mluvil o tom, ze je vkladas do pevne urceneho rozsahu. To tahle dynamicka pravidla proste byt nemohou. Nekdo jiny tady nabizel, ze to pochopil tak, ze mas nejaky svuj vlastni system, ktery jako soucast sve cinnosti dynamicky vytvari v ipfw pravidla (ktera jsou ale z hlediska ipfw stejen staticka jako ta rucne vlozena). Podle tve reakce na jeho prispevek se zdalo, ze on se s pochopenim problemu trefil. Pokud ano, tak proste je treba zaridit, aby vkladana pravidla obsahovala jiz zminenmou poznamku. Ale mozna nechapu jaky problem resis, protoze je velmi vagne popsany - a navic terminem (dynamicke pravidlo), ktery ma svuj definovany vyznam, bohuzel ale jiny. ZKus trochu lepe objasnit co myslis temi "dynamickymi pravidly" a pak se uvidi, jestli s euvidi nebo se neuvidi co s tim delat. Dan From jaroslav.votruba at keytec.cz Wed May 27 09:31:00 2009 From: jaroslav.votruba at keytec.cz (Jaroslav Votruba) Date: Wed, 27 May 2009 09:31:00 +0200 Subject: vylistovani casu vlozeni dynamickeho pravidla do IPFW In-Reply-To: <4A1BD6F6.8010304@obluda.cz> References: <4A1A59D4.7010307@keytec.cz> <4A1A719B.20501@keytec.cz> <4A1BCB0C.4040305@obluda.cz> <4A1BD452.7090407@keytec.cz> <4A1BD6F6.8010304@obluda.cz> Message-ID: <4A1CEC34.4000901@keytec.cz> > > > Ale mozna nechapu jaky problem resis, protoze je velmi vagne popsany - > a navic terminem (dynamicke pravidlo), ktery ma svuj definovany > vyznam, bohuzel ale jiny. ZKus trochu lepe objasnit co myslis temi > "dynamickymi pravidly" a pak se uvidi, jestli s euvidi nebo se neuvidi > co s tim delat. > > OK cas od casu si vytvorim nejake pravidlo jen na urcitou dobu. Neco testuju, nekoho potrebuju na chvili bloknout, zakazat nekomu sluzbu. Z prikazove radky zadam napr ipfw -q add 10 allow all from any to any via lo0 kdyz jej nepotrebuji, tak jej smazu ipfw del 10 ale protoze jsem hlava derava, zapomenu nejake pravidlo vymazat. Proto bych rad zjistil, kdy jsem toto pravidlo vkladal, protoze ty pravidla maji vetsinou tydeni platnost(kolikrat i kratsi). jarda From cizek.milan at seznam.cz Wed May 27 09:55:22 2009 From: cizek.milan at seznam.cz (=?us-ascii?Q?Cizek=2EMilan?=) Date: Wed, 27 May 2009 09:55:22 +0200 (CEST) Subject: =?us-ascii?Q?hack=20serveru=20=28spam=20zombie=3F=29?= Message-ID: <2943.5107-31764-1240981868-1243410922@seznam.cz> Ahoj, d?je se mi na jednom serveru takov? nep??jemn? v?c. V ur?it?m ?asov?m intervalu se mi spou?t? n?jak? perl skripty - pod u?ivatelem www, kter? podle sockstat generuj? trafic na smtp servery. Ve vypisu procesu je videt vzdy jen 1 podezrely soubor, jehoz nazev je vzdy jiny (nahodny), ale na disku se nikde nenachazi. smtp01# pstree | grep perl | \--- 31238 root grep perl |--= 31085 www ./yxqs.pl (perl5.8.9) www perl5.8.8 90482 38 tcp4 89.31.40.x:54027 72.14.247.27:25 www perl5.8.8 90482 41 tcp4 89.31.40.x:54041 195.4.92.212:25 www perl5.8.8 90482 42 tcp4 89.31.40.x:54056 65.54.245.72:25 www perl5.8.8 90482 43 tcp4 89.31.40.x:53324 24.71.223.11:25 www perl5.8.8 90482 44 tcp4 89.31.40.x:53890 66.196.97.250:25 www perl5.8.8 90482 45 tcp4 89.31.40.x:53820 66.196.97.250:25 www perl5.8.8 90482 46 tcp4 89.31.40.x:53428 66.196.97.250:25 www perl5.8.8 90482 48 tcp4 89.31.40.x:54029 24.71.223.11:25 ... Pokud ud?l?m "killall -9 perl5.8.8", v?e je ok asi tak na hodinu. Pot? se proces zase objev?, a to i s vypnutym cronem. Na serveru je instalovany apache, v /www se zadne podezrele perl skrypty nevyskytuji. Hlavni potiz je, ze nedokazu nalezt ten zdrojovy soubor, kde se fyzicky nachazi. Zkousel jsem lsof, neuspesne. Milan From jaroslav.votruba at keytec.cz Wed May 27 10:02:32 2009 From: jaroslav.votruba at keytec.cz (Jaroslav Votruba) Date: Wed, 27 May 2009 10:02:32 +0200 Subject: hack serveru (spam zombie?) In-Reply-To: <2943.5107-31764-1240981868-1243410922@seznam.cz> References: <2943.5107-31764-1240981868-1243410922@seznam.cz> Message-ID: <4A1CF398.2060101@keytec.cz> > > Pokud ud?l?m "killall -9 perl5.8.8", v?e je ok asi tak na hodinu. Pot? se proces zase objev?, a to i s vypnutym cronem. Na serveru je instalovany apache, v /www se zadne podezrele perl skrypty nevyskytuji. Hlavni potiz je, ze nedokazu nalezt ten zdrojovy soubor, kde se fyzicky nachazi. Zkousel jsem lsof, neuspesne. > > mozna je to blbost, ale nemuze togenerovat a spoustet nejakej php script? Tomu by odpovidal ten uzivatel www From fulda at seznam.cz Wed May 27 10:07:21 2009 From: fulda at seznam.cz (Jindra Fucik) Date: Wed, 27 May 2009 10:07:21 +0200 Subject: hack serveru (spam zombie?) References: <2943.5107-31764-1240981868-1243410922@seznam.cz> Message-ID: <001301c9dea2$298db1f0$6aad9109@PC2088> he he nekdo si pomoci tveho webu odesila spam? podstata je celkem jednoducha - nekde mas povolenej include a "utocnikovi" se podari includnout neco co jsi necekal. A proc ten soubor nemuzes najit? Nejjednodussi je ho spustit a pak ho proste smazat - potom bude existovat, ale uz neexistuje jeho zaznam v adresari ve kterem se predtim nachazel. Najdes ho treba prolejzanim procfs od tohoto procesu. Bohuzel bez procfs to z ruky neumim. ----- Original Message ----- From: "Cizek.Milan" To: "FreeBSD mailing list" Sent: Wednesday, May 27, 2009 9:55 AM Subject: hack serveru (spam zombie?) Ahoj, d?je se mi na jednom serveru takov? nep??jemn? v?c. V ur?it?m ?asov?m intervalu se mi spou?t? n?jak? perl skripty - pod u?ivatelem www, kter? podle sockstat generuj? trafic na smtp servery. Ve vypisu procesu je videt vzdy jen 1 podezrely soubor, jehoz nazev je vzdy jiny (nahodny), ale na disku se nikde nenachazi. smtp01# pstree | grep perl | \--- 31238 root grep perl |--= 31085 www ./yxqs.pl (perl5.8.9) www perl5.8.8 90482 38 tcp4 89.31.40.x:54027 72.14.247.27:25 www perl5.8.8 90482 41 tcp4 89.31.40.x:54041 195.4.92.212:25 www perl5.8.8 90482 42 tcp4 89.31.40.x:54056 65.54.245.72:25 www perl5.8.8 90482 43 tcp4 89.31.40.x:53324 24.71.223.11:25 www perl5.8.8 90482 44 tcp4 89.31.40.x:53890 66.196.97.250:25 www perl5.8.8 90482 45 tcp4 89.31.40.x:53820 66.196.97.250:25 www perl5.8.8 90482 46 tcp4 89.31.40.x:53428 66.196.97.250:25 www perl5.8.8 90482 48 tcp4 89.31.40.x:54029 24.71.223.11:25 ... Pokud ud?l?m "killall -9 perl5.8.8", v?e je ok asi tak na hodinu. Pot? se proces zase objev?, a to i s vypnutym cronem. Na serveru je instalovany apache, v /www se zadne podezrele perl skrypty nevyskytuji. Hlavni potiz je, ze nedokazu nalezt ten zdrojovy soubor, kde se fyzicky nachazi. Zkousel jsem lsof, neuspesne. Milan -- FreeBSD mailing list (users-l at freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l From ivo at vutbr.cz Wed May 27 10:15:36 2009 From: ivo at vutbr.cz (Ivo Hazmuk) Date: Wed, 27 May 2009 10:15:36 +0200 Subject: hack serveru (spam zombie?) In-Reply-To: <2943.5107-31764-1240981868-1243410922@seznam.cz> References: <2943.5107-31764-1240981868-1243410922@seznam.cz> Message-ID: <4A1CF6A8.8090805@vutbr.cz> Ahoj, Cizek.Milan wrote: > d?je se mi na jednom serveru takov? nep??jemn? v?c. V ur?it?m ?asov?m intervalu se mi spou?t? n?jak? perl skripty - pod u?ivatelem www, kter? podle sockstat generuj? trafic na smtp servery. Ve vypisu procesu je videt vzdy jen 1 podezrely soubor, jehoz nazev je vzdy jiny (nahodny), ale na disku se nikde nenachazi. > > smtp01# pstree | grep perl > | \--- 31238 root grep perl > |--= 31085 www ./yxqs.pl (perl5.8.9) > > www perl5.8.8 90482 38 tcp4 89.31.40.x:54027 72.14.247.27:25 > www perl5.8.8 90482 41 tcp4 89.31.40.x:54041 195.4.92.212:25 > www perl5.8.8 90482 42 tcp4 89.31.40.x:54056 65.54.245.72:25 > www perl5.8.8 90482 43 tcp4 89.31.40.x:53324 24.71.223.11:25 > www perl5.8.8 90482 44 tcp4 89.31.40.x:53890 66.196.97.250:25 > www perl5.8.8 90482 45 tcp4 89.31.40.x:53820 66.196.97.250:25 > www perl5.8.8 90482 46 tcp4 89.31.40.x:53428 66.196.97.250:25 > www perl5.8.8 90482 48 tcp4 89.31.40.x:54029 24.71.223.11:25 > ... n??e uveden? pravidlo IPFW sice ne?e?? p???inu, ale m??e ti to pomoci zm?rnit aspo? n?sledky: ipfw add deny log logamount 0 tcp from me to any 25 setup uid www I. From gabriel at maxpark.cz Wed May 27 10:23:45 2009 From: gabriel at maxpark.cz (Gabriel) Date: Wed, 27 May 2009 10:23:45 +0200 Subject: hack serveru (spam zombie?) In-Reply-To: <4A1CF398.2060101@keytec.cz> References: <2943.5107-31764-1240981868-1243410922@seznam.cz> <4A1CF398.2060101@keytec.cz> Message-ID: On Wed, 27 May 2009 10:02:32 +0200, Jaroslav Votruba wrote: > > mozna je to blbost, ale nemuze togenerovat a spoustet nejakej php > script? Tomu by odpovidal ten uzivatel www Toto je najpravdepodobnejsia pricina, uz som mal podobny problem a stacilo preliezt weby, zameriavaj sa na index.php, admin.php, main.php subory, vacsinou na konci tychto najdes pekny maglajz ktory to spusta. Dobre je este pozriet sa kedy sa dany perl skript spustil a podla toho preliezt apache logy a pozriet sa, co sa v dany cas kde spristupnovalo. G From Juraj.Chlebec at fem.uniag.sk Wed May 27 10:30:08 2009 From: Juraj.Chlebec at fem.uniag.sk (Juraj Chlebec) Date: Wed, 27 May 2009 10:30:08 +0200 Subject: hack serveru (spam zombie?) In-Reply-To: <2943.5107-31764-1240981868-1243410922@seznam.cz> References: <2943.5107-31764-1240981868-1243410922@seznam.cz> Message-ID: <4A1CFA10.5000700@fem.uniag.sk> Cizek.Milan wrote: > Ahoj, > d?je se mi na jednom serveru takov? nep??jemn? v?c. V ur?it?m ?asov?m intervalu se mi spou?t? n?jak? perl skripty - pod u?ivatelem www, kter? podle sockstat generuj? trafic na smtp servery. Ve vypisu procesu je videt vzdy jen 1 podezrely soubor, jehoz nazev je vzdy jiny (nahodny), ale na disku se nikde nenachazi. > > smtp01# pstree | grep perl > | \--- 31238 root grep perl > |--= 31085 www ./yxqs.pl (perl5.8.9) > > www perl5.8.8 90482 38 tcp4 89.31.40.x:54027 72.14.247.27:25 > www perl5.8.8 90482 41 tcp4 89.31.40.x:54041 195.4.92.212:25 > www perl5.8.8 90482 42 tcp4 89.31.40.x:54056 65.54.245.72:25 > www perl5.8.8 90482 43 tcp4 89.31.40.x:53324 24.71.223.11:25 > www perl5.8.8 90482 44 tcp4 89.31.40.x:53890 66.196.97.250:25 > www perl5.8.8 90482 45 tcp4 89.31.40.x:53820 66.196.97.250:25 > www perl5.8.8 90482 46 tcp4 89.31.40.x:53428 66.196.97.250:25 > www perl5.8.8 90482 48 tcp4 89.31.40.x:54029 24.71.223.11:25 > ... > > Pokud ud?l?m "killall -9 perl5.8.8", v?e je ok asi tak na hodinu. Pot? se proces zase objev?, a to i s vypnutym cronem. Na serveru je instalovany apache, v /www se zadne podezrele perl skrypty nevyskytuji. Hlavni potiz je, ze nedokazu nalezt ten zdrojovy soubor, kde se fyzicky nachazi. Zkousel jsem lsof, neuspesne. > > Milan > -- > FreeBSD mailing list (users-l at freebsd.cz) > http://www.freebsd.cz/listserv/listinfo/users-l > Na PHP mas pravdepodobne povolene fopen_url. V logoch apache pozeraj take veci ako ked niekto do parametru URL vklada http://nieco.niekde/skript.txt . Mam podobnu skusenost - remote includnuty php script co do temp stiahol perl skript, spustil ho a ten sa pripojil na IRC ako bot. Pekne vzdialene ovladanie na serveri ;). V prvom rade vypni fopen_url a povol ho naozaj len tam kde to potrebujes. Tym ochranis aspon ciastocne derave PHP skripty. Juro Chlebec -- Juraj Chlebec Centrum informacnych technologii FEM SPU Nitra, Slovensko Tel: +421 37 641 4813 Web: http://www.fem.uniag.sk/Juraj.Chlebec/ From cizek.milan at seznam.cz Wed May 27 10:33:31 2009 From: cizek.milan at seznam.cz (=?us-ascii?Q?Cizek=2EMilan?=) Date: Wed, 27 May 2009 10:33:31 +0200 (CEST) Subject: =?us-ascii?Q?Re=3A=20Re=3A=20hack=20serveru=20=28spam=20zombie=3F=29?= In-Reply-To: <001301c9dea2$298db1f0$6aad9109@PC2088> Message-ID: <2712.4869-2708-1229766348-1243413211@seznam.cz> Ahoj, > Najdes ho treba prolejzanim procfs od tohoto procesu. Bohuzel bez procfs to z ruky neumim. tohle bohu?el n?jak nefunguje, jedin? co v proc pod dan?m pid vid?m je odkaz na perl (symlink). M. From fulda at seznam.cz Wed May 27 10:45:49 2009 From: fulda at seznam.cz (Jindra Fucik) Date: Wed, 27 May 2009 10:45:49 +0200 Subject: hack serveru (spam zombie?) References: <2712.4869-2708-1229766348-1243413211@seznam.cz> Message-ID: <004401c9dea7$88fbae30$6aad9109@PC2088> ----- Original Message ----- >> Najdes ho treba prolejzanim procfs od tohoto procesu. Bohuzel bez procfs >> to z ruky neumim. > tohle bohu?el n?jak nefunguje, jedin? co v proc pod dan?m pid vid?m je > odkaz na perl (symlink). no dalsi co tam najdes bude link na cwd a nevim jestli perl svuj zdrojak po spusteni opusti nebo ne, ale pokud ho drzi, tak ho najdes v open files. Nicmene protoze je asi smazanej, tak s nim stejne nebude jednoducha prace. From rajo at platon.sk Wed May 27 11:10:12 2009 From: rajo at platon.sk (Lubomir Host) Date: Wed, 27 May 2009 11:10:12 +0200 Subject: hack serveru (spam zombie?) In-Reply-To: <2943.5107-31764-1240981868-1243410922@seznam.cz> References: <2943.5107-31764-1240981868-1243410922@seznam.cz> Message-ID: <20090527091011.GA31483@platon.sk> On Wed, May 27, 2009 at 09:55:22AM +0200, Cizek.Milan wrote: > Ahoj, > d?je se mi na jednom serveru takov? nep??jemn? v?c. V ur?it?m ?asov?m intervalu se mi spou?t? n?jak? perl skripty - pod u?ivatelem www, kter? podle sockstat generuj? trafic na smtp servery. Ve vypisu procesu je videt vzdy jen 1 podezrely soubor, jehoz nazev je vzdy jiny (nahodny), ale na disku se nikde nenachazi. Remountni /tmp s noexec volbou a prelez logy apache. grep -ir include /var/log/apache grep -ir =http: /var/log/apache a deravy php skript musis mat za chvilku identifikovany. rajo -- ,''`. Lubomir Host 'rajo' ICQ #: 257322664 : :' : Jabber: rajo AT jabber.platon.sk VoIP: callto://rajo207 `. `' WWW: http://rajo.platon.sk/ Platon Group: http://platon.sk/ `- GnuPG key: DC0C C7EA 55C8 B089 C41D 944A F251 A93A 2361 A82F From jp at devnull.cz Wed May 27 12:18:15 2009 From: jp at devnull.cz (Jan Pechanec) Date: Wed, 27 May 2009 12:18:15 +0200 (CEST) Subject: vylistovani casu vlozeni dynamickeho pravidla do IPFW In-Reply-To: <4A1CEC34.4000901@keytec.cz> References: <4A1A59D4.7010307@keytec.cz> <4A1A719B.20501@keytec.cz> <4A1BCB0C.4040305@obluda.cz> <4A1BD452.7090407@keytec.cz> <4A1BD6F6.8010304@obluda.cz> <4A1CEC34.4000901@keytec.cz> Message-ID: On Wed, 27 May 2009, Jaroslav Votruba wrote: >> Ale mozna nechapu jaky problem resis, protoze je velmi vagne popsany - a navic >> terminem (dynamicke pravidlo), ktery ma svuj definovany vyznam, bohuzel ale >> jiny. ZKus trochu lepe objasnit co myslis temi "dynamickymi pravidly" a pak se >> uvidi, jestli s euvidi nebo se neuvidi co s tim delat. >> >> > > OK > cas od casu si vytvorim nejake pravidlo jen na urcitou dobu. Neco testuju, > nekoho potrebuju na chvili bloknout, zakazat nekomu sluzbu. Z prikazove radky > zadam napr > ipfw -q add 10 allow all from any to any via lo0 > kdyz jej nepotrebuji, tak jej smazu > ipfw del 10 > > ale protoze jsem hlava derava, zapomenu nejake pravidlo vymazat. Proto bych rad > zjistil, kdy jsem toto pravidlo vkladal, protoze ty pravidla maji vetsinou > tydeni platnost(kolikrat i kratsi). Jaroslave, uz to tady bylo zmineny nekolikrat, ctes vubec ty odpovedi? -> dej si poznamku do komentare pro to dany pravidlo, to je myslim nejcistsi a nejjednodussi zpusob jak to udelat pro tu situaci, jakou popisujes. j. -- Jan Pechanec http://www.devnull.cz From cizek.milan at seznam.cz Wed May 27 13:34:05 2009 From: cizek.milan at seznam.cz (=?us-ascii?Q?Cizek=2EMilan?=) Date: Wed, 27 May 2009 13:34:05 +0200 (CEST) Subject: =?us-ascii?Q?Re=3A=20Re=3A=20hack=20serveru=20=28spam=20zombie=3F=29?= In-Reply-To: <20090527091011.GA31483@platon.sk> Message-ID: <2645.4741-22403-1477731304-1243424045@seznam.cz> Ahoj, > Remountni /tmp s noexec volbou a prelez logy apache. tohle zabralo, alespo? se ten proces opakovan? nespou?t?l. > grep -ir include /var/log/apache > grep -ir =http: /var/log/apache > a deravy php skript musis mat za chvilku identifikovany. Tak to se mi neda??. Kde p?esn? hledat? Access nebo error logy? Tak jako tak tam nevid?m nic divn?ho. :-( Milan From rajo at platon.sk Wed May 27 13:50:51 2009 From: rajo at platon.sk (Lubomir Host) Date: Wed, 27 May 2009 13:50:51 +0200 Subject: hack serveru (spam zombie?) In-Reply-To: <2645.4741-22403-1477731304-1243424045@seznam.cz> References: <20090527091011.GA31483@platon.sk> <2645.4741-22403-1477731304-1243424045@seznam.cz> Message-ID: <20090527115051.GC31483@platon.sk> On Wed, May 27, 2009 at 01:34:05PM +0200, Cizek.Milan wrote: > Ahoj, > > > Remountni /tmp s noexec volbou a prelez logy apache. > > tohle zabralo, alespo? se ten proces opakovan? nespou?t?l. Tak to uz nechaj remountnute takto, ak to vyslovene nepotrebujes. > > grep -ir include /var/log/apache > > grep -ir =http: /var/log/apache > > > a deravy php skript musis mat za chvilku identifikovany. > > Tak to se mi neda??. Kde p?esn? hledat? Access nebo error logy? Tak jako tak tam nevid?m nic divn?ho. :-( Access logy za posledny mesiac zo *vsetkych* domen, ktore mas. Hladaj take URL, ktore su nestandardne. Urcite mas niekde podhodenu externu URL, na ktorej najdes zakerny kod. Prip. este grepni na slova wget, exec, curl access logy a ked nepomoze ani to, tak hladaj zle nastavene prava na adresaroch/skriptoch, kde ti bezia weby. A ako poslednu zachranu najdi niekoho, kto ti utok zanalyzuje prip. zaudituje nastavenia na serveri. rajo > Milan > -- > FreeBSD mailing list (users-l at freebsd.cz) > http://www.freebsd.cz/listserv/listinfo/users-l -- ,''`. Lubomir Host 'rajo' ICQ #: 257322664 : :' : Jabber: rajo AT jabber.platon.sk VoIP: callto://rajo207 `. `' WWW: http://rajo.platon.sk/ Platon Group: http://platon.sk/ `- GnuPG key: DC0C C7EA 55C8 B089 C41D 944A F251 A93A 2361 A82F From Juraj.Chlebec at fem.uniag.sk Wed May 27 13:51:19 2009 From: Juraj.Chlebec at fem.uniag.sk (Juraj Chlebec) Date: Wed, 27 May 2009 13:51:19 +0200 Subject: hack serveru (spam zombie?) In-Reply-To: <2645.4741-22403-1477731304-1243424045@seznam.cz> References: <2645.4741-22403-1477731304-1243424045@seznam.cz> Message-ID: <4A1D2937.9080404@fem.uniag.sk> Cizek.Milan wrote: >> vy php skript musis mat za chvilku identifikovany. >> > > Tak to se mi neda??. Kde p?esn? hledat? Access nebo error logy? Tak jako tak tam nevid?m nic divn?ho. :-( > > Milan > Skus httpd-access.log - inak kolko tam mas PHP aplikacii? Ak je to nejaky hosting moze to byt hocico. Ale aj v error logu by mohli byt zaujimave informacie ci sa nejaky skript pokusa o cosi nekale. Ak tam teda php errory aj loguje. Ako hovorim mne to v GET url vypisalo - nieco ako ...index.php?q=http://host.domena/script.txt. Potom je mozne ze to mas niekde v databaze zapisane a ked ti niekto vlezie na nejaku stranku tak sa to pokusa includnut. potom by sa to v logu neobjavilo. Juro Chlebec -- Juraj Chlebec Centrum informacnych technologii FEM SPU Nitra, Slovensko Tel: +421 37 641 4813 Web: http://www.fem.uniag.sk/Juraj.Chlebec/ From kolar.radim at gmail.com Wed May 27 19:42:19 2009 From: kolar.radim at gmail.com (Radim Kolar) Date: Wed, 27 May 2009 19:42:19 +0200 Subject: OT: Jak dekodovat multiline HTTP hlavicky? Message-ID: <707e14750905271042k2c762569g385be8a6c84c47dc@mail.gmail.com> Analyzou packetu jsem zjistil ze mi Tomcat 5.5 rozdeluje dlouhe odchozi hlavicky, lame je na 80znaku. Nelibi se to web prohlizecum. Hlavicka pak vypada Referer: http:/dasdasdasdasdasddsadasdasdasasd [1 mezera]pokracovanihlavicky \r\n O multiline hlavickach jsem si precetl zde: http://www.w3.org/Protocols/rfc2616/rfc2616-sec4.html#sec4.2 ale neni mi z te dokumentace jasne jak se maji spravne ty multiline hlavicky dekodovat zda maji byt: a) Hlavicka: prvniradkadruharadka nebo b) Hlavicka: prvniradka[SP]druharadka Ja bych se priklanel pro moznost b) protoze ve specifikaci HTTP/1.0 draft pisi: HTTP/1.0 headers may be folded onto multiple lines if each continuation line begins with a space or horizontal tab. All linear whitespace, including folding, has the same semantics as SP. LWS = [CRLF] 1*( SP | HT ) However, folding of header lines is not expected by some applications, and should not be generated by HTTP/1.0 applications. Pokud mam pravdu a b) je spravne tak je to ocividne chyba tomcatu jelikoz lame radek ktery neobsahuje mezeru. Mne by zajimalo zda je spravne a) nebo b) abych vedel co mam vlastne opravit a zda se nekdo setkal s aplikaci ktera posila tolik cookies ze je musi server posilat jako multiline, rad bych se na ni kouknul. From freebsdcz2 at jozef.drahovsky.sk Wed May 27 21:40:10 2009 From: freebsdcz2 at jozef.drahovsky.sk (Jozef Drahovsky) Date: Wed, 27 May 2009 21:40:10 +0200 Subject: hack serveru (spam zombie?) In-Reply-To: <2943.5107-31764-1240981868-1243410922@seznam.cz> References: <2943.5107-31764-1240981868-1243410922@seznam.cz> Message-ID: <4A1D971A.3030207@jozef.drahovsky.sk> Ahoj, podobny problem ma trapil ale z PHP. Nejaky html mal v sebe neziaduci kus kodu php. Ked sa spustil s urcitym parametrom tak si z vonku stiahol subor a generoval spam, potom po sebe vsetko upratal. Nasiel som ho prave podla uzivatela www. Pokial web/php ma mat moznost posielat mail a bezia virtualne servery, tazko sa proti tomu branit. Jedine mat pod kontrolov vestky php kody co je takmer nemozne. Jedno riesenie je virtualizacia celych serverov a potom nezodpovedneho vlastnika webu respektive obet, ktora si dala na svoj web aj nieco navyse vies konkretne lokalizovat. Tento isty postup sa da zovlit aj pri perle. Jozef Cizek.Milan wrote / nap?sal(a): > Ahoj, > d?je se mi na jednom serveru takov? nep??jemn? v?c. V ur?it?m ?asov?m intervalu se mi spou?t? n?jak? perl skripty - pod u?ivatelem www, kter? podle sockstat generuj? trafic na smtp servery. Ve vypisu procesu je videt vzdy jen 1 podezrely soubor, jehoz nazev je vzdy jiny (nahodny), ale na disku se nikde nenachazi. > > smtp01# pstree | grep perl > | \--- 31238 root grep perl > |--= 31085 www ./yxqs.pl (perl5.8.9) > > www perl5.8.8 90482 38 tcp4 89.31.40.x:54027 72.14.247.27:25 > www perl5.8.8 90482 41 tcp4 89.31.40.x:54041 195.4.92.212:25 > www perl5.8.8 90482 42 tcp4 89.31.40.x:54056 65.54.245.72:25 > www perl5.8.8 90482 43 tcp4 89.31.40.x:53324 24.71.223.11:25 > www perl5.8.8 90482 44 tcp4 89.31.40.x:53890 66.196.97.250:25 > www perl5.8.8 90482 45 tcp4 89.31.40.x:53820 66.196.97.250:25 > www perl5.8.8 90482 46 tcp4 89.31.40.x:53428 66.196.97.250:25 > www perl5.8.8 90482 48 tcp4 89.31.40.x:54029 24.71.223.11:25 > ... > > Pokud ud?l?m "killall -9 perl5.8.8", v?e je ok asi tak na hodinu. Pot? se proces zase objev?, a to i s vypnutym cronem. Na serveru je instalovany apache, v /www se zadne podezrele perl skrypty nevyskytuji. Hlavni potiz je, ze nedokazu nalezt ten zdrojovy soubor, kde se fyzicky nachazi. Zkousel jsem lsof, neuspesne. > > Milan > -- > FreeBSD mailing list (users-l at freebsd.cz) > http://www.freebsd.cz/listserv/listinfo/users-l > > . > > From mk7ygre33apsq23c at foo.sk Wed May 27 21:50:07 2009 From: mk7ygre33apsq23c at foo.sk (Richard Willmann) Date: Wed, 27 May 2009 21:50:07 +0200 Subject: Jak dekodovat multiline HTTP hlavicky? References: <707e14750905271042k2c762569g385be8a6c84c47dc@mail.gmail.com> Message-ID: Mozno neodpoviem tak ako autor dopytu ocakaval ... Myslim, ze v tejto situacii by bolo najlepsie nehladat podozrivy PHP skript ale ihned zakazat odchadzajuce spojenia na porty 25 a to samozrejme za predpokladu, ze to neobmedzi prevadzku legitimnych aplikacii. V pripade ak ano, bloknut to len pre pouzivatela www (PF to dokaze). Tymto eliminujes dosledky so zaradenim tvojej IP adresy alebo adries na rozne blacklisty. Delisting z niektorych blacklistov je naozaj komplikovany. Podla toho co pises prevadzkujes Apache s PHP modulom. V druhom kroku by som preto aspon na par dni vymenil standardny PHP modul za su_php. Tymto ziskas cas a obmedzenie na odchodzie spojenia budes vediet nastavit cielene na "utocnika". VYmena za su_php je asi najrychlejsia a najjednoduchsia ak nemas pripravene v zalohe ine riesenie. (rozhodne je to rychlejsie nez nasadit napr. suexec ak si s tym nikdy nerobil). Tento cas mozes potom vyuzit a v kludne navrhnut bezpecnu konfiguraciu Apache s PHP prevadzkovanym prostrednictvom FastCGI a suexec wrappera pripadne za pouzitia ineho mechanizmu, ktory zabezpeci, ze jednotlive webove lokality budu prevadzkovane aspon s izolaciou na urovni UID (rieseni je naozaj vela, FastCGI & suexec nie je jedine mozne a za kazdych okolnosti najlepsie riesenie). d~ rwi From dan at obluda.cz Thu May 28 01:38:09 2009 From: dan at obluda.cz (Dan Lukes) Date: Thu, 28 May 2009 01:38:09 +0200 Subject: OT: Jak dekodovat multiline HTTP hlavicky? In-Reply-To: <707e14750905271042k2c762569g385be8a6c84c47dc@mail.gmail.com> References: <707e14750905271042k2c762569g385be8a6c84c47dc@mail.gmail.com> Message-ID: <4A1DCEE1.8070509@obluda.cz> Radim Kolar napsal/wrote, On 05/27/09 19:42: > O multiline hlavickach jsem si precetl zde: > http://www.w3.org/Protocols/rfc2616/rfc2616-sec4.html#sec4.2 > > ale neni mi z te dokumentace jasne jak se maji spravne ty multiline > hlavicky dekodovat zda maji byt: Ten odstavec zacina tim, ze se odvolava na odstavec 3.1 z RFC822 - a tam se to pise celkem jednoznacne. --------- For convenience, the field-body portion of this conceptual entity can be split into a multiple-line representation; this is called "folding". The general rule is that wherever there may be linear-white-space (NOT simply LWSP-chars), a CRLF immediately followed by AT LEAST one LWSP-char may instead be inserted. --------- > Pokud mam pravdu a b) je spravne tak je to ocividne chyba tomcatu > jelikoz lame radek ktery neobsahuje mezeru. "Neobsahuje" neni to prave slovo - zalomit to lze tam, kde by (zjednodusene receno) mezera byt mohla at uz tak aktualne je ci nikoliv. Dan From mixicek at seznam.cz Thu May 28 19:10:29 2009 From: mixicek at seznam.cz (=?iso-8859-2?Q?Ladislav=20Je=F8=E1bek?=) Date: Thu, 28 May 2009 19:10:29 +0200 (CEST) Subject: =?us-ascii?Q?JBoss=20startup?= Message-ID: <4397.10760-9704-1791997236-1243530629@seznam.cz> Dobry den. Rad bych se zeptal jestli nekdo nevi jak spustit JBoss pri startu systemu pomoci prilozeneho startovaciho scriptu v /usr/local/etc/rc.d/ tak, aby JBoss poslouchal ne jen na localhost interfacu, ale na vsech interfacech? Script /usr/local/jboss4/bin/run.sh -b 0.0.0.0 funguje, ale rad bych se zeptal jestli na to je nejake standartni reseni. Jedna se o FreeBSD 7.1 s JBoss 4.2.3GA a Diablo JDK 1.6. Dekuji. Ladislav Jerabek From jojo at matfyz.cz Thu May 28 22:27:17 2009 From: jojo at matfyz.cz (Marian Cerny) Date: Thu, 28 May 2009 22:27:17 +0200 Subject: JBoss startup In-Reply-To: <4397.10760-9704-1791997236-1243530629@seznam.cz> References: <4397.10760-9704-1791997236-1243530629@seznam.cz> Message-ID: <4A1EF3A5.6060805@matfyz.cz> On 28.5.2009 19:10, Ladislav Je??bek wrote: > Dobry den. > > Rad bych se zeptal jestli nekdo nevi jak spustit JBoss pri startu systemu pomoci prilozeneho startovaciho scriptu v /usr/local/etc/rc.d/ tak, aby JBoss poslouchal ne jen na localhost interfacu, ale na vsech interfacech? > > Script /usr/local/jboss4/bin/run.sh -b 0.0.0.0 funguje, ale rad bych se zeptal jestli na to je nejake standartni reseni. > > Jedna se o FreeBSD 7.1 s JBoss 4.2.3GA a Diablo JDK 1.6. Lepsie nez minuly rok poradit neviem, ale asi to nebolo dostatocne dobre. http://www.freebsd.cz/listserv/archive/users-l/2008q1/021328.html Marian From zburget at burgnet.cz Sat May 30 16:44:23 2009 From: zburget at burgnet.cz (=?ISO-8859-2?Q?Zbyn=ECk_Burget?=) Date: Sat, 30 May 2009 16:44:23 +0200 Subject: Xeon CPU Message-ID: <4A214647.2030808@burgnet.cz> Zdravim, nemam s Xeony zatim zadnou zkusenost, ale z dob drivejsich si pamatuju, ze platilo: Xeon = IA64 ostatni CPU od Intelu = EM64T (32 bit. platforma) ted prolizam web Intelu a nikde nenachazim zminku o IA64. Resp. i u Xeonu jsou zminky o EM64T. Intel snad opustil platformu IA64? Pobezi na dnesnim Xeonu i386 port FBSD? Nerad bych si nabehl a ztratil zbytecne cas objevovanim nove architektury. ...a nebo se mam na Xeon rovnou vybodnout a dat tam proste Core 2 Duo? Nejedna se o zadny zvast zatizeny server, na Xeon jsem se dival spis ze zvedavosti. Zbynek From freebsd-users-l at wilbury.sk Sat May 30 17:03:09 2009 From: freebsd-users-l at wilbury.sk (Juraj Lutter) Date: Sat, 30 May 2009 17:03:09 +0200 Subject: Xeon CPU In-Reply-To: <4A214647.2030808@burgnet.cz> References: <4A214647.2030808@burgnet.cz> Message-ID: <4A214AAD.1040604@wilbury.sk> Zbyn?k Burget wrote: > Zdravim, > nemam s Xeony zatim zadnou zkusenost, ale z dob drivejsich si pamatuju, > ze platilo: > Xeon = IA64 > ostatni CPU od Intelu = EM64T (32 bit. platforma) > > ted prolizam web Intelu a nikde nenachazim zminku o IA64. Resp. i u > Xeonu jsou zminky o EM64T. > Intel snad opustil platformu IA64? Pobezi na dnesnim Xeonu i386 port > FBSD? Nerad bych si nabehl a ztratil zbytecne cas objevovanim nove > architektury. Chyba. IA64 = Itanium EM64T = AMD64 = Xeon. > > ...a nebo se mam na Xeon rovnou vybodnout a dat tam proste Core 2 Duo? > Nejedna se o zadny zvast zatizeny server, na Xeon jsem se dival spis ze > zvedavosti. Zavisi od zelaneho TCO. -- Juraj Lutter | /\ ASCII Ribbon Campaign otis (at) wilbury (dot) sk | \/ - NO HTML/RTF in e-mail http://www.wilbury.sk/ | /\ - NO Word docs in e-mail JID: otis (at) jabber (dot) vx (dot) sk !07/11 PDP a ni deppart m'I !pleH From buchtajz at borsice.net Sat May 30 17:10:04 2009 From: buchtajz at borsice.net (Michal Buchtik) Date: Sat, 30 May 2009 17:10:04 +0200 Subject: Xeon CPU In-Reply-To: <4A214647.2030808@burgnet.cz> References: <4A214647.2030808@burgnet.cz> Message-ID: <1243696204.48562.2.camel@manwe.buchtikov.borsice.sfn> Zbyn?k Burget p??e v so 30. 05. 2009 v 16:44 +0200: > Zdravim, > nemam s Xeony zatim zadnou zkusenost, ale z dob drivejsich si pamatuju, > ze platilo: > Xeon = IA64 > ostatni CPU od Intelu = EM64T (32 bit. platforma) > nene, pokud se nepletu tak IA64 = Itanium EM64T = 64bitove rozsireni do klasickych 32bit procesoru (stejne jako amd64) > ted prolizam web Intelu a nikde nenachazim zminku o IA64. Resp. i u > Xeonu jsou zminky o EM64T. > Intel snad opustil platformu IA64? Pobezi na dnesnim Xeonu i386 port > FBSD? Nerad bych si nabehl a ztratil zbytecne cas objevovanim nove > architektury. > pobezi > ...a nebo se mam na Xeon rovnou vybodnout a dat tam proste Core 2 Duo? > Nejedna se o zadny zvast zatizeny server, na Xeon jsem se dival spis ze > zvedavosti. > XEONy jsou jsou edice procesoru pro servery > Zbynek > -- > FreeBSD mailing list (users-l at freebsd.cz) > http://www.freebsd.cz/listserv/listinfo/users-l From pavel at hotelovkatp.cz Mon Jun 1 09:30:21 2009 From: pavel at hotelovkatp.cz (Pavel Obr) Date: Mon, 01 Jun 2009 09:30:21 +0200 Subject: Perl mi nefunguje... Message-ID: <4A23838D.4070300@hotelovkatp.cz> Dobr? den v?em..., m?m takov? hloup? probl?m a nev?m jak z n?j. M?m jeden pom?rn? star? stroj je?t? ze starou verz? FreeBSD 6.1. Z r?zn?ch d?vod? jsem jej neupgradoval, v jailu mi be?? perl a po upgradu na aktu?ln? verzi 5.8.9_2 mi perl neb???. Nap??u perl....a nic, po stisknut? Ctrl+C m??u zase do shellu. Pokud nap??u perl -v, korektn? nahl?s? verzi: ######################################################## afrodite# perl -v This is perl, v5.8.9 built for i386-freebsd-64int (with 1 registered patch, see perl -V for more detail) Copyright 1987-2008, Larry Wall Perl may be copied only under the terms of either the Artistic License or the GNU General Public License, which may be found in the Perl 5 source kit. Complete documentation for Perl, including FAQ lists, should be found on this system using "man perl" or "perldoc perl". If you have access to the Internet, point your browser at http://www.perl.org/, the Perl Home Page. ######################################################## V?bec nev?m, jak to diagnostikovat a jak z toho ven:(. Upgrade perlu jsem ud?lal i v jin?m jailu toho stroje a ten sam? probl?m.... Pokud n?kdo porad?/nakopne, d?ky... Pavel From pavel at hotelovkatp.cz Mon Jun 1 09:46:13 2009 From: pavel at hotelovkatp.cz (Pavel Obr) Date: Mon, 01 Jun 2009 09:46:13 +0200 Subject: Perl mi nefunguje... In-Reply-To: <4A23838D.4070300@hotelovkatp.cz> References: <4A23838D.4070300@hotelovkatp.cz> Message-ID: <4A238745.5090305@hotelovkatp.cz> Pavel Obr napsal(a): > Dobr? den v?em..., > m?m takov? hloup? probl?m a nev?m jak z n?j. M?m jeden pom?rn? star? > stroj je?t? ze starou verz? FreeBSD 6.1. Z r?zn?ch d?vod? jsem jej > neupgradoval, v jailu mi be?? perl a po upgradu na aktu?ln? verzi > 5.8.9_2 mi perl neb???. Dopln?n? informace: upgradoval jsem z 5.8.8 na 5.8.9 kompilac? z port?, downgrade zp?t asi jen tak ud?lat nemohu, proto?e jsem po upgradu provedl perl-after-upgrade skript, abych nemusel kompilovat v?echny perl z?visl? aplikace znova. Jedin? ?ance je obnovit stroj ze z?lohy, ale do toho se mi zat?m nechce, proto?e bych ten probl?m stejn? musel znovu ?e?it. Pavel From indigo at eiecon.net Mon Jun 1 11:20:32 2009 From: indigo at eiecon.net (Indigo) Date: Mon, 01 Jun 2009 11:20:32 +0200 Subject: Perl mi nefunguje... In-Reply-To: <4A238745.5090305@hotelovkatp.cz> References: <4A23838D.4070300@hotelovkatp.cz> <4A238745.5090305@hotelovkatp.cz> Message-ID: On Mon, 01 Jun 2009 09:46:13 +0200, Pavel Obr wrote: > Pavel Obr napsal(a): >> Dobr? den v?em..., >> m?m takov? hloup? probl?m a nev?m jak z n?j. M?m jeden pom?rn? star? >> stroj je?t? ze starou verz? FreeBSD 6.1. Z r?zn?ch d?vod? jsem jej >> neupgradoval, v jailu mi be?? perl a po upgradu na aktu?ln? verzi >> 5.8.9_2 mi perl neb???. > Dopln?n? informace: > upgradoval jsem z 5.8.8 na 5.8.9 kompilac? z port?, downgrade zp?t asi > jen tak ud?lat nemohu, proto?e jsem po upgradu provedl > perl-after-upgrade skript, abych nemusel kompilovat v?echny perl z?visl? > aplikace znova. Jedin? ?ance je obnovit stroj ze z?lohy, ale do toho se > mi zat?m nechce, proto?e bych ten probl?m stejn? musel znovu ?e?it. > > Pavel > -- > FreeBSD mailing list (users-l at freebsd.cz) > http://www.freebsd.cz/listserv/listinfo/users-l Ahoj, co by ten perl mel sam o sobe delat? Byt tebou tak zkusim: perl << EOF print "Test" EOF V. From cizek.milan at seznam.cz Mon Jun 1 11:35:57 2009 From: cizek.milan at seznam.cz (=?us-ascii?Q?Cizek=2EMilan?=) Date: Mon, 01 Jun 2009 11:35:57 +0200 (CEST) Subject: =?us-ascii?Q?Problem=20po=20upgrade=20PHP=20s=20pcre?= Message-ID: <2650.4757-27816-2039275871-1243848957@seznam.cz> Ahoj, po upgrade PHP na 5.2.9 mam problem s funkcemi regularnich vyrazu ve skriptech, hlasi "Warning: preg_match() [function.preg-match]: Internal pcre_fullinfo() error -3 in ...". Prekompiloval jsem vsechny php5-* porty a take pcre, problem ale pretrvava. Moc tomu nerozumim, podobny problem jsem uz jednou resil (vyresil ale uz nevim jak :-)). V UPDATING se pise... As of php 5.2.7, pcre extension is distributed with the core php5 package, and not as a standalone module anymore. Follow these steps to update your installation: Portupgrade users: pkg_delete -f php5-pcre-5.2.6 pkgdb -F portupgrade as usual atd. Zda se mi to jako nesmysl, protoze kdyz zminovany php5-pcre port odstranim, php jako takove pak vubec nezna funkce pro praci s reg.vyrazy (ereg,preg apod.). Neresil jste nekdo? Milan From pavel at hotelovkatp.cz Mon Jun 1 11:39:06 2009 From: pavel at hotelovkatp.cz (Obr Pavel) Date: Mon, 1 Jun 2009 11:39:06 +0200 (CEST) Subject: Perl mi nefunguje... - vyreseno In-Reply-To: References: <4A23838D.4070300@hotelovkatp.cz> <4A238745.5090305@hotelovkatp.cz> Message-ID: <0d857a5dee1f7b56977cc49c74f76ac1.squirrel@www.hotelovkatp.cz> > Byt tebou tak zkusim: > perl << EOF > print "Test" > EOF > > V. Mhhh, tak to se tedy stydim. Cekal jsem, ze kdyz napisu perl ukaze se prompt perlu, stejne jako to je napr u pythonu.... Tim se chyba vyresila. Pavel From dan at obluda.cz Mon Jun 1 11:58:39 2009 From: dan at obluda.cz (Dan Lukes) Date: Mon, 01 Jun 2009 11:58:39 +0200 Subject: Perl mi nefunguje... - vyreseno In-Reply-To: <0d857a5dee1f7b56977cc49c74f76ac1.squirrel@www.hotelovkatp.cz> References: <4A23838D.4070300@hotelovkatp.cz> <4A238745.5090305@hotelovkatp.cz> <0d857a5dee1f7b56977cc49c74f76ac1.squirrel@www.hotelovkatp.cz> Message-ID: <4A23A64F.6060108@obluda.cz> Obr Pavel napsal/wrote, On 06/01/09 11:39: >> Byt tebou tak zkusim: >> perl << EOF >> print "Test" >> EOF >> >> V. > > Mhhh, tak to se tedy stydim. Cekal jsem, ze kdyz napisu perl ukaze se > prompt perlu, stejne jako to je napr u pythonu.... Tim se chyba vyresila. Mimochodem, s ohledem an to, co perl-after-upgrade dela po upgrade ho lze uplne stejne pouzit i pri pripadnem downgrade. Nicmene, tohle je jen takova berlicka, ktera muze ale taky nemusi funkcnost po upgrade (downgrade) zajistit - spolehlive reseni je jen rekompilace a reinstalace vsech veci, ktere na Perlu zaviseji. Dan From neburka at volny.cz Mon Jun 1 13:30:58 2009 From: neburka at volny.cz (Jakub Neburka) Date: Mon, 01 Jun 2009 13:30:58 +0200 Subject: nis, yp, soubor Mekfile.dist nenalezen Message-ID: <4A23BBF2.3080007@volny.cz> Dobry den. Provozuji FreeBSD 7.2. Rad bych rozbehl NIS master server. Zacal jsem podle navodu http://www.freebsd.org/doc/en/books/handbook/network-nis.html, ale ztroskotal jsem na prikazu ypinit, ktery vypise "Can't find /var/yp/Makefile.dist". Nevite, jak tento soubor vyrobim | sezenu ? Dekuji Jakub Neburka From 000.fbsd at quip.cz Mon Jun 1 13:44:40 2009 From: 000.fbsd at quip.cz (Miroslav Lachman) Date: Mon, 01 Jun 2009 13:44:40 +0200 Subject: Problem po upgrade PHP s pcre In-Reply-To: <2650.4757-27816-2039275871-1243848957@seznam.cz> References: <2650.4757-27816-2039275871-1243848957@seznam.cz> Message-ID: <4A23BF28.8000402@quip.cz> Cizek.Milan wrote: > Ahoj, > po upgrade PHP na 5.2.9 mam problem s funkcemi regularnich vyrazu ve skriptech, hlasi "Warning: preg_match() [function.preg-match]: Internal pcre_fullinfo() error -3 in ...". Prekompiloval jsem vsechny php5-* porty a take pcre, problem ale pretrvava. > > Moc tomu nerozumim, podobny problem jsem uz jednou resil (vyresil ale uz nevim jak :-)). V UPDATING se pise... > > As of php 5.2.7, pcre extension is distributed with the core php5 package, > and not as a standalone module anymore. Follow these steps to update your > installation: > > Portupgrade users: > pkg_delete -f php5-pcre-5.2.6 > pkgdb -F > portupgrade as usual > > atd. Zda se mi to jako nesmysl, protoze kdyz zminovany php5-pcre port odstranim, php jako takove pak vubec nezna funkce pro praci s reg.vyrazy (ereg,preg apod.). Neresil jste nekdo? Je port php5-pcre kompilovan s WITHOUT_BUNDLED_PCRE, nebo bez? Ja vsude pouzivam WITHOUT_BUNDLED_PCRE=true, php5 mam s Apachem 2.2 a zadny takovy problem jsem nepozoroval. Mirek From pavel at hotelovkatp.cz Mon Jun 1 15:31:27 2009 From: pavel at hotelovkatp.cz (Pavel Obr) Date: Mon, 01 Jun 2009 15:31:27 +0200 Subject: Perl mi nefunguje... - vyreseno In-Reply-To: <4A23A64F.6060108@obluda.cz> References: <4A23838D.4070300@hotelovkatp.cz> <4A238745.5090305@hotelovkatp.cz> <0d857a5dee1f7b56977cc49c74f76ac1.squirrel@www.hotelovkatp.cz> <4A23A64F.6060108@obluda.cz> Message-ID: <4A23D82F.5060507@hotelovkatp.cz> > Mimochodem, s ohledem an to, co perl-after-upgrade dela po upgrade ho > lze uplne stejne pouzit i pri pripadnem downgrade. Nicmene, tohle je > jen takova berlicka, ktera muze ale taky nemusi funkcnost po upgrade > (downgrade) zajistit - spolehlive reseni je jen rekompilace a > reinstalace vsech veci, ktere na Perlu zaviseji. Taky mne to napadlo, nicmene vzhledem k tomu, ze nejsem az takovy "guru" jsem se do toho radeji nepoustel. Nakonec jsem opravdu prekompiloval vsechny porty co na perlu zaviseji. Problem jsem mel jen s cyrus-imap23 (cyradm potrebuje perl), do ktereho jsem mel implementovany autocreate inbox patch (vytvori uzivatele pri prichodu prvniho emailu, nebo pri prvim prihlaseni - cyrus toto sam o sobe neumi). Trochu jsem se s tim pral, ale pro zajemce jsem nasel reseni zde: http://www.mail-archive.com/info-cyrus at lists.andrew.cmu.edu/msg35301.html Diky Pavel From dan at obluda.cz Mon Jun 1 16:00:00 2009 From: dan at obluda.cz (Dan Lukes) Date: Mon, 01 Jun 2009 16:00:00 +0200 Subject: nis, yp, soubor Mekfile.dist nenalezen In-Reply-To: <4A23BBF2.3080007@volny.cz> References: <4A23BBF2.3080007@volny.cz> Message-ID: <4A23DEE0.1030508@obluda.cz> Jakub Neburka napsal/wrote, On 06/01/09 13:30: > ztroskotal jsem na prikazu ypinit, ktery vypise "Can't find > /var/yp/Makefile.dist". Nevite, jak tento soubor vyrobim | sezenu ? Ten je na tohle misto umisten pri instalaci systemu - konkretne pri instalaci ypserv, ktery je soucasti systemu. Muze tam nebyt jedine pokud byl system instalovan s MK_NIS="no" (tedy bez NIS subsystemu) nebo pokud byl dodatecne smazan. Protoze neni jiste co dalsiho mohlo byt nenainstalovano/smazano je nejsnazsi reseni - upgrade na shodnou verzi. Dan From cizek.milan at seznam.cz Mon Jun 1 16:38:42 2009 From: cizek.milan at seznam.cz (=?us-ascii?Q?Cizek=2EMilan?=) Date: Mon, 01 Jun 2009 16:38:42 +0200 (CEST) Subject: =?us-ascii?Q?Re=3A=20Re=3A=20Problem=20po=20upgrade=20PHP=20s=20pcre?= In-Reply-To: <4A23BF28.8000402@quip.cz> Message-ID: <2581.4677-22269-1057655530-1243867122@seznam.cz> Ahoj, > Je port php5-pcre kompilovan s WITHOUT_BUNDLED_PCRE, nebo bez? Ja vsude pouzivam WITHOUT_BUNDLED_PCRE=true, php5 mam s Apachem 2.2 a zadny takovy problem jsem nepozoroval. kompiluji s vzchozimi volbami. Nicmene jsem port odstranil a zkusil ho znovu nainstalovat s WITHOUT_BUNDLED_PCRE, problem zustava. Co je to za volbu? Nikde jsem ji nenasel, ani google ji nezna. Milan From neburka at volny.cz Mon Jun 1 16:42:11 2009 From: neburka at volny.cz (Jakub Neburka) Date: Mon, 01 Jun 2009 16:42:11 +0200 Subject: nis, yp, soubor Mekfile.dist nenalezen - SOLVED In-Reply-To: <4A23DEE0.1030508@obluda.cz> References: <4A23BBF2.3080007@volny.cz> <4A23DEE0.1030508@obluda.cz> Message-ID: <4A23E8C3.70107@volny.cz> Probl?m byl v tom, ?e m?m ten syst?m "diskless" a p?i ka?d?m rebootu se mi zapom?n? zna?n? ??st z /var (krom? n?kolika podadres???). Na?t?st? jsem m?l jednu instalaci FreeBSD ve virtu?ln?m stroji na notebooku, tak jsem ty soubory skop?roval... Dan Lukes wrote: > Jakub Neburka napsal/wrote, On 06/01/09 13:30: >> ztroskotal jsem na prikazu ypinit, ktery vypise "Can't find >> /var/yp/Makefile.dist". Nevite, jak tento soubor vyrobim | sezenu ? > > Ten je na tohle misto umisten pri instalaci systemu - konkretne pri > instalaci ypserv, ktery je soucasti systemu. > > Muze tam nebyt jedine pokud byl system instalovan s MK_NIS="no" (tedy > bez NIS subsystemu) nebo pokud byl dodatecne smazan. > > Protoze neni jiste co dalsiho mohlo byt nenainstalovano/smazano je > nejsnazsi reseni - upgrade na shodnou verzi. > > Dan > > -- > FreeBSD mailing list (users-l at freebsd.cz) > http://www.freebsd.cz/listserv/listinfo/users-l > > From dan at obluda.cz Mon Jun 1 17:05:37 2009 From: dan at obluda.cz (Dan Lukes) Date: Mon, 01 Jun 2009 17:05:37 +0200 Subject: Problem po upgrade PHP s pcre In-Reply-To: <2650.4757-27816-2039275871-1243848957@seznam.cz> References: <2650.4757-27816-2039275871-1243848957@seznam.cz> Message-ID: <4A23EE41.8010405@obluda.cz> Cizek.Milan napsal/wrote, On 06/01/09 11:35: > po upgrade PHP na 5.2.9 mam problem s funkcemi regularnich vyrazu ve skriptech, hlasi "Warning: preg_match() [function.preg-match]: Internal pcre_fullinfo() error -3 in ..." Navratovy kod -3 funkce pcre_fullinfo se jmenuje PCRE_ERROR_BADOPTION a znamena 'the value of "what" was invalid'. Protoze nejde o parametr, ktery by se predaval pri volani preg_match() pujde o jednu z nasledujicich moznosti: 1. chyba kodu PHP (pask bude problem pozorovat vice lidi) 2. chyba prekladu (mozna se preci jen neco neprelozilo a pokud ano tak treb anepreinstalovalo) 3. chyba zpusobena bordelem v systemu (vice verzi knihoven na ruznych mistech, prelozi se vuci nejake a bezi se vuci jine) 4. jiny problem Dan From dan at obluda.cz Mon Jun 1 17:18:16 2009 From: dan at obluda.cz (Dan Lukes) Date: Mon, 01 Jun 2009 17:18:16 +0200 Subject: Problem po upgrade PHP s pcre In-Reply-To: <4A23EE41.8010405@obluda.cz> References: <2650.4757-27816-2039275871-1243848957@seznam.cz> <4A23EE41.8010405@obluda.cz> Message-ID: <4A23F138.9030906@obluda.cz> Dan Lukes napsal/wrote, On 06/01/09 17:05: >> po upgrade PHP na 5.2.9 mam problem s funkcemi regularnich vyrazu ve > 1. chyba kodu PHP (pask bude problem pozorovat vice lidi) ... > 4. jiny problem 5. Krome php5_pcre je v Apachi pouzivana dalsi komponenta, ktera primo ci neprimo zavisi take na pcre knihovne, tahle komponenta ale neni prekompilovana. Jednoduseji receno - celkovy strom zavislosti vysledneho beziciho Apache obsahuje zavislost na dve verze teze knihovny. Dokonce by tou knihovnou ani nemusela byt ta, ktera ma co do cineni s pcre. Pri podobne nekonzistenci jsou konsekvence naprosto neprevidatelne. Klidne by treb amohlo jit o to, ze jedna komponenta je zavisla na OpenSSL ze systemu a jina pouziva to z portu ... Dan From 000.fbsd at quip.cz Mon Jun 1 21:30:46 2009 From: 000.fbsd at quip.cz (Miroslav Lachman) Date: Mon, 01 Jun 2009 21:30:46 +0200 Subject: Problem po upgrade PHP s pcre In-Reply-To: <2581.4677-22269-1057655530-1243867122@seznam.cz> References: <2581.4677-22269-1057655530-1243867122@seznam.cz> Message-ID: <4A242C66.20108@quip.cz> Cizek.Milan wrote: > Ahoj, > >> Je port php5-pcre kompilovan s WITHOUT_BUNDLED_PCRE, nebo bez? Ja vsude > > pouzivam WITHOUT_BUNDLED_PCRE=true, php5 mam s Apachem 2.2 a zadny > takovy problem jsem nepozoroval. > > kompiluji s vzchozimi volbami. Nicmene jsem port odstranil a zkusil ho > znovu nainstalovat s WITHOUT_BUNDLED_PCRE, problem zustava. Co je to za > volbu? Nikde jsem ji nenasel, ani google ji nezna. Na tu volbu se pta OPTIONS dialog pri prvnim pokusu o kompilaci php5-pcre. # cat /var/db/ports/php5-pcre/options # This file is auto-generated by 'make config'. # No user-servicable parts inside! # Options for php5-pcre-5.2.9 _OPTIONS_READ=php5-pcre-5.2.9 WITHOUT_BUNDLED_PCRE=true konkretni dialog vypada takto: [ ] BUNDLED_PCRE Select if you use apache 2.0.x a je vyvolan podminkou v souboru /usr/ports/lang/php5/Makefile.ext .if ${PHP_MODNAME} == "pcre" OPTIONS= BUNDLED_PCRE "Select if you use apache 2.0.x" off .endif Mirek From cizek.milan at seznam.cz Mon Jun 1 22:09:02 2009 From: cizek.milan at seznam.cz (Milan Cizek) Date: Mon, 1 Jun 2009 22:09:02 +0200 Subject: Problem po upgrade PHP s pcre In-Reply-To: <4A242C66.20108@quip.cz> References: <2581.4677-22269-1057655530-1243867122@seznam.cz> <4A242C66.20108@quip.cz> Message-ID: <173E4FA8FD544C519FAD4FE8406C9C95@milanc> Ahoj, > Na tu volbu se pta OPTIONS dialog pri prvnim pokusu o > kompilaci php5-pcre. Tak nevim, proc to puvodne nezabralo (make install WITHOUT_BUNDLED_PCRE="YES"). Port jsem znovu odinstaloval, smazal z /var/db/ports/php5-pcre* option soubor, znova nainstaloval se zatrzenim one volby. Uz to slape jak ma. Diky za nasmerovani. Milan From 000.fbsd at quip.cz Mon Jun 1 22:38:03 2009 From: 000.fbsd at quip.cz (Miroslav Lachman) Date: Mon, 01 Jun 2009 22:38:03 +0200 Subject: Problem po upgrade PHP s pcre In-Reply-To: <173E4FA8FD544C519FAD4FE8406C9C95@milanc> References: <2581.4677-22269-1057655530-1243867122@seznam.cz> <4A242C66.20108@quip.cz> <173E4FA8FD544C519FAD4FE8406C9C95@milanc> Message-ID: <4A243C2B.3080309@quip.cz> Milan Cizek wrote: > Ahoj, > > >>Na tu volbu se pta OPTIONS dialog pri prvnim pokusu o >>kompilaci php5-pcre. > > > Tak nevim, proc to puvodne nezabralo (make install > WITHOUT_BUNDLED_PCRE="YES"). Port jsem znovu odinstaloval, smazal z > /var/db/ports/php5-pcre* option soubor, znova nainstaloval se zatrzenim one > volby. Uz to slape jak ma. Diky za nasmerovani. Jen mala poznamka k te zmene options, melo by se na to jit spis touto cestou (namisto smazani souboru): cd /usr/ports/devel/php5-pcre/ make config make make install make clean :) ale samozrejme funguje oboje Mirek From cizek.milan at seznam.cz Mon Jun 1 23:08:05 2009 From: cizek.milan at seznam.cz (Milan Cizek) Date: Mon, 1 Jun 2009 23:08:05 +0200 Subject: Problem po upgrade PHP s pcre In-Reply-To: <4A243C2B.3080309@quip.cz> References: <2581.4677-22269-1057655530-1243867122@seznam.cz> <4A242C66.20108@quip.cz><173E4FA8FD544C519FAD4FE8406C9C95@milanc> <4A243C2B.3080309@quip.cz> Message-ID: <23BB74103B9E45E5AEE4C58552020F69@milanc> > Jen mala poznamka k te zmene options, melo by se na to jit > spis touto cestou (namisto smazani souboru): > cd /usr/ports/devel/php5-pcre/ > make config > make > make install > make clean Ano, jasne. Kdy? uz jsem byl v tom adresari (dival se, co tam je ulozeno za hodnotu), tak jsem to rovnou smaznul. Jsem si vedom. :-) Milan From omicron.czech at gmail.com Tue Jun 2 16:04:46 2009 From: omicron.czech at gmail.com (Ladislav Kohout) Date: Tue, 2 Jun 2009 16:04:46 +0200 Subject: Proftpd + ipfw + pasivni pripojeni pres web browser Message-ID: Zdravim, budu vdecny za kazdou radu k nasledujicimu problemu: Mam nastaveny proftpd server s db uzivatelu v mysql verze 1.3.0_1. Ve firewallu (ipfw) povolene vyjimky pro 20 a 21 port takze v aktivnim modu vse slape dobre. Verze BSD 6.0-RELEASE-p7. Bohuzel jeden z klientu pozaduje pristup pres webovy prohlizec. Nastavil jsem tedy v proftpd: #Passive PassivePorts 49152 65534 a do ipfw pridal vyjimky: add 180 allow tcp from any to any dst-port 49152-65535 add 190 allow tcp from me to any dst-port 49152-65535 (zkousel jsem i allow tcp from any to any dst-port 49152-65535) Ale presto se se zapnutym firewallem spojeni pres webovy prohlizec se serverem nenavaze. Vyzada si autorizaci a pak jen nacita a nacita bez zadne hlasky. Do logu se zapise: Jun 2 15:50:01 inferno proftpd[56254]: server.domena.cz(IP.IP.IP.IP[IP.IP.IP.IP]) - USER useruser: Login successful. Jun 2 15:50:01 inferno proftpd[56254]: server.domena.cz(IP.IP.IP.IP[IP.IP.IP.IP]) - Preparing to chroot to directory '/web/olympiccz' Jun 2 15:50:47 inferno proftpd[56147]: server.domena.cz(IP.IP.IP.IP[IP.IP.IP.IP]) - Passive data transfer failed, possibly due to network issues Jun 2 15:50:47 inferno proftpd[56147]: server.domena.cz(IP.IP.IP.IP[IP.IP.IP.IP]) - Check your PassivePorts and MasqueradeAddress settings, Jun 2 15:50:47 inferno proftpd[56147]: server.domena.cz(IP.IP.IP.IP[IP.IP.IP.IP]) - and any router, NAT, and firewall rules in the network path. Jun 2 15:50:47 inferno proftpd[56147]: server.domena.cz(IP.IP.IP.IP[IP.IP.IP.IP]) - FTP no transfer timeout, disconnected Jun 2 15:50:47 inferno proftpd[56147]: server.domena.cz(IP.IP.IP.IP[IP.IP.IP.IP]) - FTP session closed. Predem dekuji za odpovedi. -- Ladislav Kohout DiS mobil: 606 787 923 ICQ: 210-192-640 From dan at obluda.cz Tue Jun 2 16:26:26 2009 From: dan at obluda.cz (Dan Lukes) Date: Tue, 02 Jun 2009 16:26:26 +0200 Subject: Proftpd + ipfw + pasivni pripojeni pres web browser In-Reply-To: References: Message-ID: <4A253692.6060205@obluda.cz> Ladislav Kohout napsal/wrote, On 06/02/09 16:04: > Ale presto se se zapnutym firewallem spojeni pres webovy prohlizec se > serverem nenavaze. Zjistit si, skutecne parametry navazovaneho pasivniho datoveho spojeni. Pomoci tcpdump-u Dan From jaroslav.votruba at keytec.cz Wed Jun 3 09:45:22 2009 From: jaroslav.votruba at keytec.cz (Jaroslav Votruba) Date: Wed, 03 Jun 2009 09:45:22 +0200 Subject: NCPLIB Message-ID: <4A262A12.9020008@keytec.cz> m?te n?kdo n?jakou zku?ennost s klientem pro novell servery NCPLIB. Man str?nka neexistuje, autor web str?nky ud?lal n?kdy v praveku a od te doby na ne nesah, natoz aby prihodil nejaky popis. Googleni mi taky neprineslo zadne poznatky. Nechme stranou NFS a jine zpusoby pripojeni. Proste by me zajimalo, jestli je moznost pristupovat na novella primo (i z jinych platforem nez I386-mount). Jarda From dan at obluda.cz Wed Jun 3 10:07:21 2009 From: dan at obluda.cz (Dan Lukes) Date: Wed, 03 Jun 2009 10:07:21 +0200 Subject: NCPLIB In-Reply-To: <4A262A12.9020008@keytec.cz> References: <4A262A12.9020008@keytec.cz> Message-ID: <4A262F39.6020102@obluda.cz> Jaroslav Votruba napsal/wrote, On 06/03/09 09:45: > m?te n?kdo n?jakou zku?ennost s klientem pro novell servery NCPLIB. Sveho casu rozsahlou. To ale jeste Netware vubec nekomunikovalo po IP Nakonec, mam dojem, ze co se FreeBSD tyce, komunikace na IP stale nepresla a dosud pouziva IPX vyhradne. Otazka je, k cemu NCPLIB. Pokud vim, tak na tom Popov prestal delat jako na samostatne veci pote, co se podpora mountovani Netware disku dostala do bezne instalace FreeBSD. > Proste by me zajimalo, jestli je moznost pristupovat na novella primo (i z jinych platforem nez > I386-mount). Nevim cemu rikas "pristupovat primo" kdyz mount jsi vyloucil ... Dan From v.benc at volny.cz Wed Jun 3 10:20:57 2009 From: v.benc at volny.cz (=?ISO-8859-2?Q?Vladim=EDr?= Benc) Date: Wed, 3 Jun 2009 10:20:57 +0200 Subject: NCPLIB In-Reply-To: <4A262A12.9020008@keytec.cz> References: <4A262A12.9020008@keytec.cz> Message-ID: <20090603102057.7801969f@plzcsad030.csadplzen.cz> Dne st?eda 3.?ervna 2009 09:45:22 Jaroslav Votruba napsal(a): > m?te n?kdo n?jakou zku?ennost s klientem pro novell servery NCPLIB. > Man str?nka neexistuje, autor web str?nky ud?lal n?kdy v praveku a od > te doby na ne nesah, natoz aby prihodil nejaky popis. Googleni mi > taky neprineslo zadne poznatky. > Nechme stranou NFS a jine zpusoby pripojeni. Proste by me zajimalo, > jestli je moznost pristupovat na novella primo (i z jinych platforem > nez I386-mount). > Jarda Ahoj, sice ti to asi moc nepom??e, ale v dob? FBSD 4.8-10 sem to m?l rozchozen? doma oproti Netware 4.n?co , tedy po IPX ( po IP pro Novell 5+ v?bec netu?im, jestli to v BSD jde). Ov?em u? jeto dost d?vno, nem?m to u? na ?em vyzkou?et. A jak kouk?m do manu k mount_nwfs , tak cel? tenhle projekt NCPLIB je ji? sou??st? base syst?mu dost slouho, tak ani netu??m, jakou manu?lovou str?nku hled??. Co se ti tedy ji? povedlo/nepovedlo ? Vl??a Benc From jaroslav.votruba at keytec.cz Wed Jun 3 12:17:46 2009 From: jaroslav.votruba at keytec.cz (Jaroslav Votruba) Date: Wed, 03 Jun 2009 12:17:46 +0200 Subject: NCPLIB In-Reply-To: <20090603102057.7801969f@plzcsad030.csadplzen.cz> References: <4A262A12.9020008@keytec.cz> <20090603102057.7801969f@plzcsad030.csadplzen.cz> Message-ID: <4A264DCA.7060601@keytec.cz> > > Co se ti tedy ji? povedlo/nepovedlo ? > > problem je v tom, ze jsem postavil zalohovaci server s BSD na platforme AMD64. Pocital jsem s tim, ze to budu mountovat pres mount_nwfs, ale ten chodi jen s I386 na AMD64 to nechodi. NFS mi nedelalo dobrotu, ted to resim pres ftp a wget, ale na novellu mi to postupne zere pamet tak, ze musim ten server jednou mesicne restartovat. Problem s tou pameti jsem resil i s Oksystemem (zastoupeni novella), ale k nicemu jsme se nedopracovali. NCPLIB je jedina vec, kterou jsem nasel v portech, tak jsem se se o to zacal zajimat Jarda From jozef.babjak at gmail.com Wed Jun 3 12:25:49 2009 From: jozef.babjak at gmail.com (Jozef Babjak) Date: Wed, 3 Jun 2009 12:25:49 +0200 Subject: NCPLIB In-Reply-To: <4A264DCA.7060601@keytec.cz> References: <4A262A12.9020008@keytec.cz> <20090603102057.7801969f@plzcsad030.csadplzen.cz> <4A264DCA.7060601@keytec.cz> Message-ID: > problem je v tom, ze jsem postavil zalohovaci server s BSD na platforme > AMD64. Pocital jsem s tim, ze to budu mountovat pres mount_nwfs, ale ten > chodi jen s I386 na AMD64 to nechodi. NFS mi nedelalo dobrotu, ted to resim > Jarda ^-- Nie si Ty nahodou "Jardik" na abclinuxu.cz? Dost veci by to vysvetlovalo. J. From jaroslav.votruba at keytec.cz Wed Jun 3 12:32:00 2009 From: jaroslav.votruba at keytec.cz (Jaroslav Votruba) Date: Wed, 03 Jun 2009 12:32:00 +0200 Subject: NCPLIB In-Reply-To: References: <4A262A12.9020008@keytec.cz> <20090603102057.7801969f@plzcsad030.csadplzen.cz> <4A264DCA.7060601@keytec.cz> Message-ID: <4A265120.7060800@keytec.cz> > > ^-- Nie si Ty nahodou "Jardik" na abclinuxu.cz? Dost veci by to vysvetlovalo. > > nee, toho neznam. Nejakej lump? From dan at obluda.cz Wed Jun 3 13:05:03 2009 From: dan at obluda.cz (Dan Lukes) Date: Wed, 03 Jun 2009 13:05:03 +0200 Subject: NCPLIB In-Reply-To: <4A264DCA.7060601@keytec.cz> References: <4A262A12.9020008@keytec.cz> <20090603102057.7801969f@plzcsad030.csadplzen.cz> <4A264DCA.7060601@keytec.cz> Message-ID: <4A2658DF.60206@obluda.cz> On 3.6.2009 12:17, Jaroslav Votruba: >> Co se ti tedy ji? povedlo/nepovedlo ? > problem je v tom, ze jsem postavil zalohovaci server s BSD na platforme > AMD64 Hm, to mas problem. NWFS kod je velmi stary a pochazi z jeste starsich zdroju. Obavam se, ze proste nebyl psan tak, ze bude na AMD64 prelozitelny. Nejde o zadny principialni problem - jen proste nejspsi bude redpokladat urcite veci (jako velikosti datovych typu), ktere jednoduse nebudou platit. Je pokud vim, ve skutecnosti ho proste nikdo nezkusil a tak je jeho statut na AMD64 neznamy. Muzes byt prvni, kdo to zkusi a pripadne zjisti, ze "to bez problemu funguje". > NCPLIB je jedina vec, kterou jsem nasel v portech, tak jsem se se o to > zacal zajimat Ta ti nepomuze, protoze to je (pro ucely teto diskuse) predchudce toho, co je v systemu. Popravde receno, ja ve tve situaci prave ted zacnu zvazovat proc jsem ten server zalozil na jadre platformy AMD64 a pokud zjistis, ze nejlepsi odpoved je "protoze to hardware umoznoval, ale jinak to zas tak moc nepotrebuju" tak bych problem resil prechodem na jadro I386. Jinak - samozrejme - muzes zacit pracovat na upravach kodu NWFS a na AMD64 platforme to rozchodit. Dan From jaroslav.votruba at keytec.cz Wed Jun 3 13:24:25 2009 From: jaroslav.votruba at keytec.cz (Jaroslav Votruba) Date: Wed, 03 Jun 2009 13:24:25 +0200 Subject: NCPLIB In-Reply-To: <4A2658DF.60206@obluda.cz> References: <4A262A12.9020008@keytec.cz> <20090603102057.7801969f@plzcsad030.csadplzen.cz> <4A264DCA.7060601@keytec.cz> <4A2658DF.60206@obluda.cz> Message-ID: <4A265D69.8030301@keytec.cz> > Muzes byt prvni, kdo to zkusi a pripadne zjisti, ze "to bez problemu > funguje". nefunguje, zkousel jsem to. Nebo spise funguje, ale nespoji > > Jinak - samozrejme - muzes zacit pracovat na upravach kodu NWFS a na > AMD64 platforme to rozchodit. > > srandisto, to driv presvedcim vedeni, aby nam zase vyplacelo premie a bonusy chtel jsem to preinstalovat na I386, ale na tom stroji bezi par sluzeb, ktere si nemohu dovolit shodit a pripravit si to mimo taky nemuzu, protoze nejsou prachy ani na pitomej HDD no nic, myslel jsem, ze by to mohla byt cesta- neni jarda From omicron.czech at gmail.com Wed Jun 3 13:55:16 2009 From: omicron.czech at gmail.com (Ladislav Kohout) Date: Wed, 3 Jun 2009 13:55:16 +0200 Subject: Proftpd + ipfw + pasivni pripojeni pres web browser Message-ID: Omlouvam se za obtezovani. Chyba byla v navrhu nastaveni prichozich, odchozich portu. Funkcni konfigurace firewallu je: add 180 allow tcp from any to me dst-port 49152-65535 add 190 allow tcp from me 49152-65535 to any From dan at obluda.cz Wed Jun 3 14:11:25 2009 From: dan at obluda.cz (Dan Lukes) Date: Wed, 03 Jun 2009 14:11:25 +0200 Subject: NCPLIB In-Reply-To: <4A265D69.8030301@keytec.cz> References: <4A262A12.9020008@keytec.cz> <20090603102057.7801969f@plzcsad030.csadplzen.cz> <4A264DCA.7060601@keytec.cz> <4A2658DF.60206@obluda.cz> <4A265D69.8030301@keytec.cz> Message-ID: <4A26686D.5000106@obluda.cz> On 3.6.2009 13:24, Jaroslav Votruba: >> Muzes byt prvni, kdo to zkusi a pripadne zjisti, ze "to bez problemu >> funguje". > > nefunguje, zkousel jsem to. Nebo spise funguje, ale nespoji To se, bohuzel, neda posoudit, jestli ej to kvuli AMD platforme, nebo jestli je tam neco bobe nastaveno a nespojilo by se to ani z I386. Moznoasti je spousta - povinne checksumy a/nebo signatury na stran eserveru ale nedelane na strane klienta, nekompatibilne zvolena encapsulace IPX ramcu ... Zapnout LOGy na Netware a tcpdump na klientovi ... >> Jinak - samozrejme - muzes zacit pracovat na upravach kodu NWFS a na >> AMD64 platforme to rozchodit. >> > srandisto, to driv presvedcim vedeni, aby nam zase vyplacelo premie a > bonusy > chtel jsem to preinstalovat na I386, ale na tom stroji bezi par sluzeb, > ktere si nemohu dovolit shodit a pripravit si to mimo taky nemuzu, > protoze nejsou prachy ani na pitomej HDD Tak to proste asi zas tak moc nepotrebuji. To, ze pouzivani OpenSource znamena nulove naklady je celkem obecne rozsireny omyl ... Dan From v.benc at volny.cz Thu Jun 4 12:45:16 2009 From: v.benc at volny.cz (=?ISO-8859-2?Q?Vladim=EDr?= Benc) Date: Thu, 4 Jun 2009 12:45:16 +0200 Subject: NCPLIB In-Reply-To: <4A265D69.8030301@keytec.cz> References: <4A262A12.9020008@keytec.cz> <20090603102057.7801969f@plzcsad030.csadplzen.cz> <4A264DCA.7060601@keytec.cz> <4A2658DF.60206@obluda.cz> <4A265D69.8030301@keytec.cz> Message-ID: <20090604124516.0aa417b0@plzcsad030.csadplzen.cz> Dne st?eda 3.?ervna 2009 13:24:25 Jaroslav Votruba napsal(a): > > > Muzes byt prvni, kdo to zkusi a pripadne zjisti, ze "to bez > > problemu funguje". > > nefunguje, zkousel jsem to. Nebo spise funguje, ale nespoji > > ... > > chtel jsem to preinstalovat na I386, ale na tom stroji bezi par > sluzeb, ktere si nemohu dovolit shodit a pripravit si to mimo taky > nemuzu, protoze nejsou prachy ani na pitomej HDD > > no nic, myslel jsem, ze by to mohla byt cesta- neni > > jarda No nez bych se pustil na preinstalaci na x86, tak bych to urcite nejdrive vyzkousel ne ? Nebo mas overeno, ze to na x86 URCITE funguje ? Pokud nemas nikde po ruce nejakou masinu s FreeBSD, tak si proste udelej nejakej VM, na to zadne hmotne prostredky navic nepotrebujes. Vlada Benc From m.prymek at gmail.com Thu Jun 4 16:13:30 2009 From: m.prymek at gmail.com (=?ISO-8859-1?Q?Miroslav_Pr=FDmek?=) Date: Thu, 4 Jun 2009 16:13:30 +0200 Subject: LDAP a pobockovy server Message-ID: <14424C93-4915-4D29-A133-F4B9300FDB79@gmail.com> Zdravim, mam dotaz ohledne LDAPu, je to asi docela typicka situace, ale nepodarilo se mi najit zadne best practices, ktere by popisovaly reseni dostatecne zevrubne - vyhody, nevyhody ruznych reseni apod. Situace: centrala spolecnosti s LDAP serverem (srv1) + pobocka s vlastnim serverem (srv2) Oba servery FBSD, propojene pomoci openvpn. srv1 obhospodaruje maily vsech uzivatelu, vcetne uzivatelu z pobocky (to nechci menit). Proto LDAP na srv1 obsahuje zaznamy techto uzivatelu (oc posixAccount, inetOrgPerson, dn: uid=vomacka, ou=pobocka, ou=people, dc=domena, dc=cz) Zaroven srv1 osahuje zaznamy posixAccount+sambaSamAccount pro uzivatele Windows v centrale (domena s cestovnimi profily) - dn: uid=novak, ou=centrala, ou=people, dc=domena, dc=cz. Problem: srv2 by mel zacit fungovat jako Windows domain server pro pobocku. Chci tedy nejakym zpusobem zaznamy pod ou=pobocka, ou=people, dc=domena, dc=cz zreplikovat na LDAP server srv2. Nechci ale replikovat zaznamy pod ou=centrala, ou=people, dc=domena, dc=cz. Zaroven by bylo fajn, kdyby LDAP db na srv2 mohlo obsahovat nejake veci, ktere by byly specificke jenom pro srv2, treba: oc sambaDomain: sambaDomainName=pobocka, ou=samba, ou=pobocka, dc=domena, dc=cz. Nejpruhlednejsi reseni mi prijde na srv1 vytvorit podstrom ou=pobocka, dc=domena, dc=cz se vsim, co by srv2 mohl potrebovat a ten zreplikovat na srv2. Problem je, ze uzivatelske ucty by potom byly v ou=people, ou=pobocka, dc=domena, dc=cz, ale ja bych je kvuli dorucovani mailu na srv1 potreboval mit pod ou=people, dc=domena, dc=cz. Co s tim? Vyresit to aliasem z ou=pobocka, ou=people, dc=domena, dc=cz? Nebude to zbytecne delat problemy? (bude nutny nastavit deref do vsech aplikaci, ktere LDAP pouzivaji) Daleko nejvic by se mi ale libilo, kdyby srv2 lokalne mel "kostru": ou=people, ou=pobocka, dc=domena, dc=cz a treba ou=groups, ou=pobocka, dc=domena, dc=cz apod. a pod touto kostrou mel "namountovane" (zreplikovane, cachovane apod.) zaznamy, ktere najde na srv1 pod ou=pobocka, ou=people, dc=domena, dc=cz Jde mi ale o to, aby zaznamy byly skutecne zreplikovane, protoze preposilani dotazu na centralni server by zdrzovalo a zahlcovalo linku. Nebo doporucujete pouzit slapo-pcache a pro jednotlive subsystemy na srv2 nastavit hledani pod ou=pobocka, ou=people, dc=domena, dc=cz? Nevim, jestli jsem to popsal srozumitelne, snad to pochopite. Jake mate zkusenosti vy? Jaky zpusob distribuovani LDAP zaznamu pouzivate? Diky za jakekoliv rady! Mirek From kolar.radim at gmail.com Thu Jun 4 19:15:55 2009 From: kolar.radim at gmail.com (Radim Kolar) Date: Thu, 4 Jun 2009 19:15:55 +0200 Subject: LDAP a pobockovy server In-Reply-To: <14424C93-4915-4D29-A133-F4B9300FDB79@gmail.com> References: <14424C93-4915-4D29-A133-F4B9300FDB79@gmail.com> Message-ID: <707e14750906041015q43dad22cy7f94d7dfd4619f18@mail.gmail.com> > Nevim, jestli jsem to popsal srozumitelne, snad to pochopite. Jake mate > zkusenosti vy? > Jaky zpusob distribuovani LDAP zaznamu pouzivate? Tivoli Directory Server. http://www-01.ibm.com/software/tivoli/products/directory-server/ Asi nejlepsi soft co se da sehnat, a to jsem jich videl uz dost. From freebsd-users-l at wilbury.sk Thu Jun 4 19:23:21 2009 From: freebsd-users-l at wilbury.sk (Juraj Lutter) Date: Thu, 04 Jun 2009 19:23:21 +0200 Subject: LDAP a pobockovy server In-Reply-To: <707e14750906041015q43dad22cy7f94d7dfd4619f18@mail.gmail.com> References: <14424C93-4915-4D29-A133-F4B9300FDB79@gmail.com> <707e14750906041015q43dad22cy7f94d7dfd4619f18@mail.gmail.com> Message-ID: <4A280309.1030102@wilbury.sk> Radim Kolar wrote: >> Nevim, jestli jsem to popsal srozumitelne, snad to pochopite. Jake mate >> zkusenosti vy? >> Jaky zpusob distribuovani LDAP zaznamu pouzivate? > Tivoli Directory Server. > http://www-01.ibm.com/software/tivoli/products/directory-server/ > Asi nejlepsi soft co se da sehnat, a to jsem jich videl uz dost. Nie pre FreeBSD. > -- > FreeBSD mailing list (users-l at freebsd.cz) > http://www.freebsd.cz/listserv/listinfo/users-l -- Juraj Lutter | /\ ASCII Ribbon Campaign otis (at) wilbury (dot) sk | \/ - NO HTML/RTF in e-mail http://www.wilbury.sk/ | /\ - NO Word docs in e-mail JID: otis (at) jabber (dot) vx (dot) sk !07/11 PDP a ni deppart m'I !pleH From dan at obluda.cz Fri Jun 5 09:29:51 2009 From: dan at obluda.cz (Dan Lukes) Date: Fri, 05 Jun 2009 09:29:51 +0200 Subject: NCPLIB In-Reply-To: <20090604124516.0aa417b0@plzcsad030.csadplzen.cz> References: <4A262A12.9020008@keytec.cz> <20090603102057.7801969f@plzcsad030.csadplzen.cz> <4A264DCA.7060601@keytec.cz> <4A2658DF.60206@obluda.cz> <4A265D69.8030301@keytec.cz> <20090604124516.0aa417b0@plzcsad030.csadplzen.cz> Message-ID: <4A28C96F.7060502@obluda.cz> Vladim?r Benc wrote: > Pokud nemas nikde po ruce nejakou masinu s FreeBSD, tak si proste > udelej nejakej VM, na to zadne hmotne prostredky navic nepotrebujes. Musis, ovsem, verit, ze VM do problemu nezanese dalsi uroven neznamych a ze ke vsem odstatnim duvodu, proc muze komunikace nefungovat nepribude "chybna konfigurace VM" (nenajdes mnoho examplu jak spravne nakonfigurovat guest/host sitovy stack v pripade IPX protokolu) ... Dan From jaroslav.votruba at keytec.cz Fri Jun 5 10:16:46 2009 From: jaroslav.votruba at keytec.cz (Jaroslav Votruba) Date: Fri, 05 Jun 2009 10:16:46 +0200 Subject: programek mail a virtualni uzivatele v postficu Message-ID: <4A28D46E.7060503@keytec.cz> koukam do manu programku mail, ale nikde jsem neprisel na to, jak jej prasvedcit, aby mi vybiral postu z adresare pro virtualni ucty. Zmenil jsem promennou MAIL na cestu k adresari se sv?mi maily, ale programku se to nelibi. mail: /usr/local/virtual/dvorec.eu/jaroslav.votruba/: Is a directory a skon??. Pravd?podobn? o?ek?v? mbox m?sto maildir. Pripadne mi poradte nejaky jiny programek, ktery by umoznoval cist/odesilat postu a nachazel se pokud mozno defaultne na vetsine unix-like systemu jarda From 000.fbsd at quip.cz Fri Jun 5 10:43:12 2009 From: 000.fbsd at quip.cz (Miroslav Lachman) Date: Fri, 05 Jun 2009 10:43:12 +0200 Subject: programek mail a virtualni uzivatele v postficu In-Reply-To: <4A28D46E.7060503@keytec.cz> References: <4A28D46E.7060503@keytec.cz> Message-ID: <4A28DAA0.7020805@quip.cz> Jaroslav Votruba wrote: > koukam do manu programku mail, ale nikde jsem neprisel na to, jak jej > prasvedcit, aby mi vybiral postu z adresare pro virtualni ucty. Zmenil > jsem promennou MAIL na cestu k adresari se sv?mi maily, ale programku > se to nelibi. > mail: /usr/local/virtual/dvorec.eu/jaroslav.votruba/: Is a directory > a skon??. Pravd?podobn? o?ek?v? mbox m?sto maildir. AFAIK mail ocekava mbox a s Maildirem vubec neumi. Navic je pro lokalni uzivatele, o virtualnich system nevi a nevi o nich ani jine programy krome postfixu (a dalsich, co pouzivaji stejne uloziste udaju o virtualnich schrankach) - to proto, ze jsou virtualni :) > Pripadne mi poradte nejaky jiny programek, ktery by umoznoval > cist/odesilat postu a nachazel se pokud mozno defaultne na vetsine > unix-like systemu V tomhle neporadim, neznam dostatecne "jine" systemy. Ale asi to bude muset byt neco, co cte postu pres IMAP / POP3. Mirek From v.benc at volny.cz Fri Jun 5 10:51:29 2009 From: v.benc at volny.cz (=?ISO-8859-2?Q?Vladim=EDr?= Benc) Date: Fri, 5 Jun 2009 10:51:29 +0200 Subject: NCPLIB In-Reply-To: <4A28C96F.7060502@obluda.cz> References: <4A262A12.9020008@keytec.cz> <20090603102057.7801969f@plzcsad030.csadplzen.cz> <4A264DCA.7060601@keytec.cz> <4A2658DF.60206@obluda.cz> <4A265D69.8030301@keytec.cz> <20090604124516.0aa417b0@plzcsad030.csadplzen.cz> <4A28C96F.7060502@obluda.cz> Message-ID: <20090605105129.083e548b@plzcsad030.csadplzen.cz> Dne p?tek 5.?ervna 2009 09:29:51 Dan Lukes napsal(a): > Vladim?r Benc wrote: > > Pokud nemas nikde po ruce nejakou masinu s FreeBSD, tak si proste > > udelej nejakej VM, na to zadne hmotne prostredky navic nepotrebujes. > > Musis, ovsem, verit, ze VM do problemu nezanese dalsi uroven > neznamych a ze ke vsem odstatnim duvodu, proc muze komunikace > nefungovat nepribude "chybna konfigurace VM" (nenajdes mnoho examplu > jak spravne nakonfigurovat guest/host sitovy stack v pripade IPX > protokolu) ... > > Dan To urcite, ale v situaci, kdy Jarda "pravdepodobne" nema na cem jinem zkouset, kdyz psal ze nedostane ani HDD navic :( , je to dle me nejrychlejsi reseni - mimo dual-bootu, LiveCD s vlastnim IPX kernelem atd. Ocekaval bych, ze pokud to bude nakonfigurovane jako bridge - coz umi snad vsechny emulatory, tak by do tech ramcu host system nemel doufam nijak zasahovat. Jedine nejaky problem emulovane sitove karty v guestu VS fyzicke v hostu. Problemy muhou samozrejme nastat :D Vlada Benc From jozef.babjak at gmail.com Fri Jun 5 12:39:21 2009 From: jozef.babjak at gmail.com (Jozef Babjak) Date: Fri, 5 Jun 2009 12:39:21 +0200 Subject: programek mail a virtualni uzivatele v postficu In-Reply-To: <4A28D46E.7060503@keytec.cz> References: <4A28D46E.7060503@keytec.cz> Message-ID: > Pripadne mi poradte nejaky jiny programek, ktery by umoznoval cist/odesilat > postu a nachazel se pokud mozno defaultne ?na vetsine unix-like systemu ^-- Prijem posty a jej odosielanie su principialne dve dost odlisne veci, medzi ktorymi stoji este jedna problematicka vec: pouzivatel. Preto by som Ti odporucil nehladat za kazdu cenu jeden tool na vsetko, ale radsej hladat dobry tool na jednotlive cinnosti. S tou by-default pritomnostou na viacerych systemoch to bude asi tak ci tak problem. Pozri sa na tooly, ktore su sucastou sendmail-u; zvycajne najdes aspon nejaku ich obdobu. Nie je jasne, ci Ti ide o citanie a odosielanie mailov clovekom, alebo spracovanie mailov nejakymi skriptami; na citanie, pisanie a aj na posielanie mailov zo skriptov sa mi osvedcil mutt. Spravidla ho mozno jednoducho doinstalovat na akykolvek unix-like system; defaultnu pritomnost v systeme ale ocakavat nemozno. J. From dan at obluda.cz Fri Jun 5 12:59:05 2009 From: dan at obluda.cz (Dan Lukes) Date: Fri, 05 Jun 2009 12:59:05 +0200 Subject: programek mail a virtualni uzivatele v postficu In-Reply-To: <4A28D46E.7060503@keytec.cz> References: <4A28D46E.7060503@keytec.cz> Message-ID: <4A28FA79.5070400@obluda.cz> Jaroslav Votruba wrote: > koukam do manu programku mail, ale nikde jsem neprisel na to, jak jej > prasvedcit, aby mi vybiral postu z adresare pro virtualni ucty. Zmenil > jsem promennou MAIL na cestu k adresari se sv?mi maily, ale programku > se to nelibi. > mail: /usr/local/virtual/dvorec.eu/jaroslav.votruba/: Is a directory > a skon??. Pravd?podobn? o?ek?v? mbox m?sto maildir. To rozhodne. "Nativnim" formatem pro FreeBSD (a nakonec vedsinu *BSD) systemu je MBOX. Pokud se rozhodnes tohle zmenit musis prekonfigurovat/nahradit vsechny zucastnene komponenty. > Pripadne mi poradte nejaky jiny programek, ktery by umoznoval > cist/odesilat postu a nachazel se pokud mozno defaultne na vetsine > unix-like systemu No - sam jsi to rekl. "mail" Ten bude na kazdem UNIXu cist postu v tom spravnem formatu spravne. Tvuju problem neni cteni posty, ale jeji ukladani. Tim, ze jsi zmenil ukladaci format - tim jsi se odstrihl od defaultnich utilit. Neres tedy cteni, ale prijem. Bud' prijimaci software nakonfiguruj tak, at postu uklada v ocekavanem formatu, nebo vymen prijimaci software na postu (pokud ten tvuj soucasny ukladat postu v nativnim formatu neumi). Dan From vilem.kebrt at gmail.com Fri Jun 5 20:49:10 2009 From: vilem.kebrt at gmail.com (Vilem Kebrt) Date: Fri, 05 Jun 2009 20:49:10 +0200 Subject: programek mail a virtualni uzivatele v postficu In-Reply-To: <4A28FA79.5070400@obluda.cz> References: <4A28D46E.7060503@keytec.cz> <4A28FA79.5070400@obluda.cz> Message-ID: <4A2968A6.3060704@gmail.com> Ahoj vsichni, nativ na bsd je skutecne mbox ale jak jiste spousta z nas vi tak pro centralni mail server je to format pomerne nestastny(mbox byva problem pri padech, soubory extra narustaji apod.). Tuto zmenu uloziste lze ocekavat...aspon dle meho nazoru. No co se tyka takovehoto klienta tak nevim jak na FreeBSD ale na linuxu se mi osvedcil Pine, popr. Mutt. vilem Dan Lukes napsal(a): > Jaroslav Votruba wrote: >> koukam do manu programku mail, ale nikde jsem neprisel na to, jak jej >> prasvedcit, aby mi vybiral postu z adresare pro virtualni ucty. >> Zmenil jsem promennou MAIL na cestu k adresari se sv?mi maily, ale >> programku se to nelibi. >> mail: /usr/local/virtual/dvorec.eu/jaroslav.votruba/: Is a directory >> a skon??. Pravd?podobn? o?ek?v? mbox m?sto maildir. > > To rozhodne. "Nativnim" formatem pro FreeBSD (a nakonec vedsinu *BSD) > systemu je MBOX. Pokud se rozhodnes tohle zmenit musis > prekonfigurovat/nahradit vsechny zucastnene komponenty. > >> Pripadne mi poradte nejaky jiny programek, ktery by umoznoval >> cist/odesilat postu a nachazel se pokud mozno defaultne na vetsine >> unix-like systemu > > No - sam jsi to rekl. "mail" > > Ten bude na kazdem UNIXu cist postu v tom spravnem formatu spravne. > > Tvuju problem neni cteni posty, ale jeji ukladani. Tim, ze jsi zmenil > ukladaci format - tim jsi se odstrihl od defaultnich utilit. > > Neres tedy cteni, ale prijem. Bud' prijimaci software nakonfiguruj > tak, at postu uklada v ocekavanem formatu, nebo vymen prijimaci > software na postu (pokud ten tvuj soucasny ukladat postu v nativnim > formatu neumi). > > Dan > > -- > FreeBSD mailing list (users-l at freebsd.cz) > http://www.freebsd.cz/listserv/listinfo/users-l From dan at obluda.cz Fri Jun 5 22:43:07 2009 From: dan at obluda.cz (Dan Lukes) Date: Fri, 05 Jun 2009 22:43:07 +0200 Subject: programek mail a virtualni uzivatele v postficu In-Reply-To: <4A2968A6.3060704@gmail.com> References: <4A28D46E.7060503@keytec.cz> <4A28FA79.5070400@obluda.cz> <4A2968A6.3060704@gmail.com> Message-ID: <4A29835B.1050007@obluda.cz> Vilem Kebrt wrote: > pro centralni mail server O tom ale rec nebyla - k nejakemu centralnimu mailovemu ulozisti se pristupuje typicky pomoci POP3/IMAP a z pohledu klienta je format mailboxu v tom centralnim ulozisti irelevantni. > Tuto zmenu uloziste lze ocekavat...aspon dle meho nazoru. Zmenu defaultniho ukladaciho formatu lze ocekavat ? Jako, ze mail.local zacne ukladat postu v nejakem jinem formatu a mail ji v tom jinem formatu zacne cist ? Dost pochybuju. > No co se tyka takovehoto klienta tak nevim jak na FreeBSD ale na linuxu > se mi osvedcil Pine, popr. Mutt. Pozadavek znel "neco, co je v systemu" - a v systemu je tak jedine "mail". I kdyz je pravda, ze pozadavek byl ponekud zmatecny - pokud budu uzivatelum umoznovat lokalni pristup, tak je zbytecna komplikace delat virtualni mailboxy - to jim proste udelam ucet. Stejne musim - bez nej si ani "mail" ani cokoliv jineho na tom stroji nepusti. A pokud nectu postu lokalne, pak je zase klientovi jedno, jestli je na serveru posta ulozena ve formatu A nebo B ... Dan From vilem.kebrt at gmail.com Sat Jun 6 17:33:15 2009 From: vilem.kebrt at gmail.com (Vilem Kebrt) Date: Sat, 06 Jun 2009 17:33:15 +0200 Subject: programek mail a virtualni uzivatele v postficu In-Reply-To: <4A29835B.1050007@obluda.cz> References: <4A28D46E.7060503@keytec.cz> <4A28FA79.5070400@obluda.cz> <4A2968A6.3060704@gmail.com> <4A29835B.1050007@obluda.cz> Message-ID: <4A2A8C3B.6060509@gmail.com> Ahoj, Dan Lukes napsal(a): > Vilem Kebrt wrote: >> pro centralni mail server > > O tom ale rec nebyla - k nejakemu centralnimu mailovemu ulozisti se > pristupuje typicky pomoci POP3/IMAP a z pohledu klienta je format > mailboxu v tom centralnim ulozisti irelevantni. > >> Tuto zmenu uloziste lze ocekavat...aspon dle meho nazoru. > > Zmenu defaultniho ukladaciho formatu lze ocekavat ? Jako, ze > mail.local zacne ukladat postu v nejakem jinem formatu a mail ji v tom > jinem formatu zacne cist ? Dost pochybuju. Tohle melo znamenat ze soudnej clovek asi nebude pouzivat defaultne mbox kdyz ma k dispozici lip spravovatelnej maildir. to nemelo se systemovou zmenou samovolnou nic spolecnyho, asi sem se spatne vyjadril. >> No co se tyka takovehoto klienta tak nevim jak na FreeBSD ale na >> linuxu se mi osvedcil Pine, popr. Mutt. > > Pozadavek znel "neco, co je v systemu" - a v systemu je tak jedine > "mail". I kdyz je pravda, ze pozadavek byl ponekud zmatecny - pokud > budu uzivatelum umoznovat lokalni pristup, tak je zbytecna komplikace > delat virtualni mailboxy - to jim proste udelam ucet. Stejne musim - > bez nej si ani "mail" ani cokoliv jineho na tom stroji nepusti. A > pokud nectu postu lokalne, pak je zase klientovi jedno, jestli je na > serveru posta ulozena ve formatu A nebo B ... > > Dan Dobre a co napriklad vyukove stroje na vysokych skolach kde maji klienti vlastni shell a ctou si napr. postu tam ? to v potaz neberes ? samozrejme ze klienti musi byt lokalni.ale virtualni mailboxy jsou z hlediska tohodle podle me ponekud lepe "prohlizitelne" a "spravovatelne" (napriklad tohle pouziva na svy lidi jeden nemenovanej vyskumak v praze 4). vilem > > -- > FreeBSD mailing list (users-l at freebsd.cz) > http://www.freebsd.cz/listserv/listinfo/users-l From dan at obluda.cz Sat Jun 6 18:06:01 2009 From: dan at obluda.cz (Dan Lukes) Date: Sat, 06 Jun 2009 18:06:01 +0200 Subject: programek mail a virtualni uzivatele v postficu In-Reply-To: <4A2A8C3B.6060509@gmail.com> References: <4A28D46E.7060503@keytec.cz> <4A28FA79.5070400@obluda.cz> <4A2968A6.3060704@gmail.com> <4A29835B.1050007@obluda.cz> <4A2A8C3B.6060509@gmail.com> Message-ID: <4A2A93E9.8030805@obluda.cz> Vilem Kebrt wrote: >> delat virtualni mailboxy - to jim proste udelam ucet. Stejne musim - >> bez nej si ani "mail" ani cokoliv jineho na tom stroji nepusti. A >> pokud nectu postu lokalne, pak je zase klientovi jedno, jestli je na >> serveru posta ulozena ve formatu A nebo B ... > Dobre a co napriklad vyukove stroje na vysokych skolach kde maji klienti > vlastni shell a ctou si napr. postu tam ? to v potaz neberes ? Naopak. Presne takovy stroj jsem mel pred ocima. Jsem spravcem presne takoveho vyukoveho stroje. Nejednoho. Ale presto nerozumim, co se snazis rict. > samozrejme ze klienti musi byt lokalni.ale virtualni mailboxy jsou z > hlediska tohodle podle me ponekud lepe "prohlizitelne" a "spravovatelne" > (napriklad tohle pouziva na svy lidi jeden nemenovanej vyskumak v praze 4). Stejne musim cas od casu zkontrolovat, ktery uzivatel uz neni student a jeho pristupovy ucet zrusit - prislusne mailboxy mi pri zakladani a ruseni pristupovych uctu vznikaji a zanikaji "samy od sebe" a cokoliv co by okolo toho bylo treba delat navic (napriklad zakladani emailoveho uctu v nejakem separatnim "virtualnim" systemu) by byla docela obycejne prace navic. Proc ne, kdyby to prineslo nejakou zasadni vyhodu - tu ja ale zatim nejak (v tomto prostredi) nevidim. Ale mozna se snazis rict neco jineho a me to jen uniklo. Nebo je problem v tom, ze ja se bavim o reseni puvodniho problemu tazatele, kdezto ty resis obecny problem. Nevim. Jeste jednou rikam, ze tam, kde stejne uzivatelum zakladam shellovy pristup nevidim ve virtualnim schrankovem systemu zadnou vyhodu ani pro spravce ani pro uzivatele. A obvlast v pripade, ze si tazatel vyslovne pral mit moznost pro cteni posty pouzit "in-OS" utility - tam je pouziti virtualnich schranek spise kontraproduktivni. Dan From cizek.milan at seznam.cz Sun Jun 7 13:26:44 2009 From: cizek.milan at seznam.cz (Milan Cizek) Date: Sun, 7 Jun 2009 13:26:44 +0200 Subject: hack serveru (spam zombie?) - VYRESENO In-Reply-To: <4A1D971A.3030207@jozef.drahovsky.sk> References: <2943.5107-31764-1240981868-1243410922@seznam.cz> <4A1D971A.3030207@jozef.drahovsky.sk> Message-ID: Ahoj, tak jsem vse po dlouhem patrani nakonec uvedl do cisteho stavu. Cely problem vznikl prolomenim jednoho FTP uctu, doposud nen? tedy jasne jak, jelikoz dotycny pouziva vyhradne MacOS a od jinud se nepripojuje, nicmene jeho login tam jasne figuroval - nejakym zpusobem se dostal ven. Utocicich PC bylo asi 20, vse ze stejne domeny (farma). Utok probihal nasledovne. Pomoci FTP byl na web nahran php skript s nahodnym jmenem, nasledne byl vygenerovan pozadavek, kter? jej spustil. Tento php skript vygeneroval do /tmp nahodne pojmenovany .pl skript, kter? spustil a nasledne smazal. Nasledovalo odstraneni puvodniho php skriptu (ftp). Na vse jsem prisel po delsim prochazeni ftp/apache logu. Nebylo to snadne, proto?e tech zakernych FTP uploadu bylo pouze 10-20x denne a v logu se to ztracelo v beznem provozu. Diky vsem za pomoc. Milan From dan at obluda.cz Sun Jun 7 14:55:50 2009 From: dan at obluda.cz (Dan Lukes) Date: Sun, 07 Jun 2009 14:55:50 +0200 Subject: hack serveru (spam zombie?) - VYRESENO In-Reply-To: References: <2943.5107-31764-1240981868-1243410922@seznam.cz> <4A1D971A.3030207@jozef.drahovsky.sk> Message-ID: <4A2BB8D6.4050803@obluda.cz> Milan Cizek wrote: > Cely problem vznikl prolomenim jednoho FTP uctu, doposud nen? tedy jasne jak, jelikoz > dotycny pouziva vyhradne MacOS a od jinud se nepripojuje Prihlasovani po FTP neni sifrovane - takze kdokoliv s moznosti zachytit po ceste. Dale - pokud pouziva klienta, ktery je ochoten hledat proxy server autokonfiguraci, pak mohl zanechat heslo v nejake siti, kde se pripojil a kde byl nakonfigurovan proxy server. No a pak samozrejme - proste uhadnuti hesla. Zejmena pokud ho nemel slozite a pokud nemas omezen pocet pokusu na prihlaseni. Moznosti je plno ... Dan From freebsd-users-l at wilbury.sk Sun Jun 7 15:04:45 2009 From: freebsd-users-l at wilbury.sk (Juraj Lutter) Date: Sun, 07 Jun 2009 15:04:45 +0200 Subject: hack serveru (spam zombie?) - VYRESENO In-Reply-To: <4A2BB8D6.4050803@obluda.cz> References: <2943.5107-31764-1240981868-1243410922@seznam.cz> <4A1D971A.3030207@jozef.drahovsky.sk> <4A2BB8D6.4050803@obluda.cz> Message-ID: <4A2BBAED.5080101@wilbury.sk> Dan Lukes wrote: > Prihlasovani po FTP neni sifrovane - takze kdokoliv s moznosti zachytit > po ceste. Dale - pokud pouziva klienta, ktery je ochoten hledat proxy > server autokonfiguraci, pak mohl zanechat heslo v nejake siti, kde se > pripojil a kde byl nakonfigurovan proxy server. > > No a pak samozrejme - proste uhadnuti hesla. Zejmena pokud ho nemel > slozite a pokud nemas omezen pocet pokusu na prihlaseni. > > Moznosti je plno ... > V dnesnej dobe napr. funguje worm, ktory z total commanderu vycuca FTP sessiony, vratane hesla a pomocou nich meni weby. Treba patchovat T.C. a pouzivat antivir. -- Juraj Lutter | /\ ASCII Ribbon Campaign otis (at) wilbury (dot) sk | \/ - NO HTML/RTF in e-mail http://www.wilbury.sk/ | /\ - NO Word docs in e-mail JID: otis (at) jabber (dot) vx (dot) sk !07/11 PDP a ni deppart m'I !pleH From cizek.milan at seznam.cz Sun Jun 7 15:20:46 2009 From: cizek.milan at seznam.cz (Milan Cizek) Date: Sun, 7 Jun 2009 15:20:46 +0200 Subject: hack serveru (spam zombie?) - VYRESENO In-Reply-To: <4A2BBAED.5080101@wilbury.sk> References: <2943.5107-31764-1240981868-1243410922@seznam.cz> <4A1D971A.3030207@jozef.drahovsky.sk> <4A2BB8D6.4050803@obluda.cz> <4A2BBAED.5080101@wilbury.sk> Message-ID: <614DF9D21A0A426F8CB0BF6BDF07A475@milanc> Ahoj, > V dnesnej dobe napr. funguje worm, ktory z total commanderu > vycuca FTP sessiony, vratane hesla a pomocou nich meni weby. > Treba patchovat T.C. a pouzivat antivir. vim o tom, t?eba znamy iframe a dal?? podobna havet. Proto pouzivam vsude posledn? betu (master password+AES sifrovani). Milan From kolar.radim at gmail.com Tue Jun 9 19:53:46 2009 From: kolar.radim at gmail.com (Radim Kolar) Date: Tue, 9 Jun 2009 19:53:46 +0200 Subject: zfs po havarii systemu Message-ID: <707e14750906091053k47619114lfa1719d1272e7df0@mail.gmail.com> Mne se pomerne casto stava ze kdyz system zhavaruje na kernel panic (ehm dosla pamet jak jinak) tak na zfs svazcich po bootu nejsou videt zadne soubory musi se dat: zfs export a zfs import cislo fbsd 7.2, zfs prelozeno jako modul. taky mi zfs casto dela pri shutdownu panic: vput negative ref cnt ale to asi nicemu nevadi protoze to nastane az kdyz udela sync a v neposledni rade musim dat zfs mount -a dvakrat, aby to vubec namountovalo ty filesystemy. V Solarisu musim rici ze je to ZFS znatelne stabilnejsi, asi ve freebsd 7 moc production ready nebude podobne jako gjournal. Naopak na tmpfs si nemohu stezovat. Jake jsou vase zkusenosti se ZFS na dost zatizenem serveru? From jaroslav.votruba at keytec.cz Tue Jun 9 20:19:12 2009 From: jaroslav.votruba at keytec.cz (jaroslav votruba) Date: Tue, 09 Jun 2009 20:19:12 +0200 Subject: programek mail a virtualni uzivatele v postficu In-Reply-To: <4A2A93E9.8030805@obluda.cz> References: <4A28D46E.7060503@keytec.cz> <4A28FA79.5070400@obluda.cz> <4A2968A6.3060704@gmail.com> <4A29835B.1050007@obluda.cz> <4A2A8C3B.6060509@gmail.com> <4A2A93E9.8030805@obluda.cz> Message-ID: <4A2EA7A0.8060106@keytec.cz> > > Jeste jednou rikam, ze tam, kde stejne uzivatelum zakladam shellovy > pristup nevidim ve virtualnim schrankovem systemu zadnou vyhodu ani > pro spravce ani pro uzivatele. A obvlast v pripade, ze si tazatel > vyslovne pral mit moznost pro cteni posty pouzit "in-OS" utility - tam > je pouziti virtualnich schranek spise kontraproduktivni. > > > Dan abych to uved na pravou miru. Jde mi jen o to,. ze kdyz se dostanu k nejakemu unix-like systemu (treba vzdalene) a potrebuju otestovat postu, tak doted jsem pouzival telnet. Ale ten je user friendly asi jako visty. Ten mail je uchazejici, poslu posli (mail),ale problem je s tima virtualnima uzivatelema a vyberem posty. Kdyz jsem na cizim stroji, tak nechci radsi nic instalovat, proto ten pozadavek na existenci "od prirody" v systemu jarda From jaroslav.votruba at keytec.cz Tue Jun 9 20:23:58 2009 From: jaroslav.votruba at keytec.cz (jaroslav votruba) Date: Tue, 09 Jun 2009 20:23:58 +0200 Subject: hack serveru (spam zombie?) - VYRESENO In-Reply-To: <4A2BBAED.5080101@wilbury.sk> References: <2943.5107-31764-1240981868-1243410922@seznam.cz> <4A1D971A.3030207@jozef.drahovsky.sk> <4A2BB8D6.4050803@obluda.cz> <4A2BBAED.5080101@wilbury.sk> Message-ID: <4A2EA8BE.9040907@keytec.cz> > > > V dnesnej dobe napr. funguje worm, ktory z total commanderu vycuca FTP > sessiony, vratane hesla a pomocou nich meni weby. Treba patchovat T.C. > a pouzivat antivir. > > proto je lepsi pouzivat scp -r From zburget at burgnet.cz Tue Jun 9 21:12:50 2009 From: zburget at burgnet.cz (=?UTF-8?B?WmJ5bsSbayBCdXJnZXQ=?=) Date: Tue, 09 Jun 2009 21:12:50 +0200 Subject: programek mail a virtualni uzivatele v postficu In-Reply-To: <4A2EA7A0.8060106@keytec.cz> References: <4A28D46E.7060503@keytec.cz> <4A28FA79.5070400@obluda.cz> <4A2968A6.3060704@gmail.com> <4A29835B.1050007@obluda.cz> <4A2A8C3B.6060509@gmail.com> <4A2A93E9.8030805@obluda.cz> <4A2EA7A0.8060106@keytec.cz> Message-ID: <4A2EB432.70306@burgnet.cz> ssh na nejaky svuj stroj, kde mas hezky pohodlny program, kterym si postu prectes? Porad lepsi (a bezpecnejsi), nez ten telnet. ...a je na kazdem unix-like systemu. Zbynek jaroslav votruba napsal(a): > >> >> Jeste jednou rikam, ze tam, kde stejne uzivatelum zakladam shellovy >> pristup nevidim ve virtualnim schrankovem systemu zadnou vyhodu ani >> pro spravce ani pro uzivatele. A obvlast v pripade, ze si tazatel >> vyslovne pral mit moznost pro cteni posty pouzit "in-OS" utility - tam >> je pouziti virtualnich schranek spise kontraproduktivni. >> >> >> Dan > > abych to uved na pravou miru. Jde mi jen o to,. ze kdyz se dostanu k > nejakemu unix-like systemu (treba vzdalene) a potrebuju otestovat postu, > tak doted jsem pouzival telnet. Ale ten je user friendly asi jako visty. > Ten mail je uchazejici, poslu posli (mail),ale problem je s tima > virtualnima uzivatelema a vyberem posty. Kdyz jsem na cizim stroji, tak > nechci radsi nic instalovat, proto ten pozadavek na existenci "od > prirody" v systemu > > jarda > -- > FreeBSD mailing list (users-l at freebsd.cz) > http://www.freebsd.cz/listserv/listinfo/users-l From 000.fbsd at quip.cz Tue Jun 9 21:20:21 2009 From: 000.fbsd at quip.cz (Miroslav Lachman) Date: Tue, 09 Jun 2009 21:20:21 +0200 Subject: zfs po havarii systemu In-Reply-To: <707e14750906091053k47619114lfa1719d1272e7df0@mail.gmail.com> References: <707e14750906091053k47619114lfa1719d1272e7df0@mail.gmail.com> Message-ID: <4A2EB5F5.1080500@quip.cz> Radim Kolar wrote: > Mne se pomerne casto stava ze kdyz system zhavaruje na kernel panic > (ehm dosla pamet jak jinak) tak na zfs svazcich po bootu nejsou videt > zadne soubory musi se dat: > > zfs export > a zfs import cislo > > fbsd 7.2, zfs prelozeno jako modul. > taky mi zfs casto dela pri shutdownu panic: vput negative ref cnt ale > to asi nicemu nevadi protoze to nastane az kdyz udela sync > a v neposledni rade musim dat zfs mount -a dvakrat, aby to vubec > namountovalo ty filesystemy. > > V Solarisu musim rici ze je to ZFS znatelne stabilnejsi, asi ve > freebsd 7 moc production ready nebude podobne jako gjournal. Naopak na > tmpfs si nemohu stezovat. > > Jake jsou vase zkusenosti se ZFS na dost zatizenem serveru? ZFS mam na dvou strojich, oba dva jsou 7.2-RELEASE amd64, jeden ma 4GB RAM a druhy 5GB. Na zadnem z nich nepozoruji tvuj problem s neviditelnymi soubory, ani nutnost zfs mount -a. Prvni z nich obsahuje asi 6 jailu (plny system s vlasnim apachem atd.). Jeden z tech jailu slouzi pro obsluhovani downloadu s datovym tokem okolo 30Mbps. Na tomto stroji se od poladeni loader.conf kernel panic nevyskytnul ani jednou. Druhy stroj slouzi jako backup storage pro rscyncem delane zalohy z cca 10 webserveru (kazdy den v noci). Aktualne zalohy zabiraji asi 1.5TB. Kernel panic jsem tam videl tusim dvakrat za poslednich 8 mesicu. Na obou strojich cas od casu delam snapshoty - jen tak z nudy ;o) - a opet bez problemu. Testoval jsem i pocet snapshotu ve virtualnim prostredi, po dosazeni vice nez 7500 snapshotu bez padu systemu me to prestalo bavit :] Takze pro me je ZFS velmi dobre pouzitelne a dela presne to, co od neho potrebuji pro me produkcni pozadavky. Pokud mas problemy se 7.2-RELEASE, tak zkus ten upgrade na ZFS v13, co Kip Macy mergoval z CURRENT chvili po vydani 7.2 release. http://svn.freebsd.org/viewvc/base/user/kmacy/releng_7_2_zfs/ http://svn.freebsd.org/viewvc/base/user/kmacy/ZFS_MFC/ Tam by mela byt vyrazne vylepsena sprava pameti a tim by mela odpadnout jakakoliv nutnost tuningu v loader.conf na amd64. Osobne jsem to ale netestoval, protoze zatim nemam potrebu - nehasim, co me nepali ;) (ale i tak se najdou pripady uziti, kdy ke kernel panicu dojde - alespon podle mailinglistu) A co se tmpfs tyce, je to par dnu, co jsem cetl, jak ho nekdo celkem spolehlive panicne a kdyz pouziva tmpfs na /tmp, tak tam pak vidi dvakrat soubory stejneho jmena. Uz ted bohuzel nevim, v jakem mailinglistu to bylo. Asi by to slo dohledat i jako PR. Mirek From dan at obluda.cz Tue Jun 9 21:25:20 2009 From: dan at obluda.cz (Dan Lukes) Date: Tue, 09 Jun 2009 21:25:20 +0200 Subject: programek mail a virtualni uzivatele v postficu In-Reply-To: <4A2EA7A0.8060106@keytec.cz> References: <4A28D46E.7060503@keytec.cz> <4A28FA79.5070400@obluda.cz> <4A2968A6.3060704@gmail.com> <4A29835B.1050007@obluda.cz> <4A2A8C3B.6060509@gmail.com> <4A2A93E9.8030805@obluda.cz> <4A2EA7A0.8060106@keytec.cz> Message-ID: <4A2EB720.6030100@obluda.cz> jaroslav votruba napsal/wrote, On 06/09/09 20:19: > kdyz se dostanu k nejakemu unix-like systemu (treba vzdalene) a potrebuju otestovat postu, > tak doted jsem pouzival telnet. Ale ten je user friendly asi jako visty. No, to je sice pravda, ale ty nejsi pro tyhle ucely obycejny "user", a nakonec, nejde ti o rutinni uzivani posty, ale o ozkouseni. > problem je s tima virtualnima uzivatelema a vyberem posty. Kdyz jsem na cizim stroji, tak > nechci radsi nic instalovat Kdyz jsi na nejakem stroji a chces nekde jinde otestovat postu, tak to je ti fuk v jakem konkretnim formatu je tam kdesi v dalce posta ulozena. Pristupujes k ni POPem nebo IMAPem. Dokonce nerozlisis ani jestli tam v dalce jsou ti uzivatele virtualni nebo nativni. A na (neuzivatelske) ozkouseni vzdaleneho SMTP/POP3/IMAP4 systemu mas skutecne nejlepsi ten telnet. Ten sice opravdu neni vhodnym mastrojem pro rutinni manipulaci s postou beznym uzivatelem, ale pro ucely "jestli to funguje" vhodny je, protoze kdyz to nefunguje, tak chybove hlaseni, ktere ti jiny tool casto neukaze, muze rovnou prozradit proc. V pripade SSL variant SMTP/POP3/IMAP4 pak ke stejnemu ucelu poslouzi "openssl s_client -connect ...", ktery nakonec zvlada i TLS varianty. Dan From vilem.kebrt at gmail.com Wed Jun 10 11:30:10 2009 From: vilem.kebrt at gmail.com (Vilem Kebrt) Date: Wed, 10 Jun 2009 11:30:10 +0200 Subject: programek mail a virtualni uzivatele v postficu In-Reply-To: <4A2EB720.6030100@obluda.cz> References: <4A28D46E.7060503@keytec.cz> <4A28FA79.5070400@obluda.cz> <4A2968A6.3060704@gmail.com> <4A29835B.1050007@obluda.cz> <4A2A8C3B.6060509@gmail.com> <4A2A93E9.8030805@obluda.cz> <4A2EA7A0.8060106@keytec.cz> <4A2EB720.6030100@obluda.cz> Message-ID: <4A2F7D22.5080506@gmail.com> Ahoj Dan Lukes napsal(a): > jaroslav votruba napsal/wrote, On 06/09/09 20:19: >> kdyz se dostanu k nejakemu unix-like systemu (treba vzdalene) a >> potrebuju otestovat postu, tak doted jsem pouzival telnet. Ale ten je >> user friendly asi jako visty. > > No, to je sice pravda, ale ty nejsi pro tyhle ucely obycejny "user", a > nakonec, nejde ti o rutinni uzivani posty, ale o ozkouseni. > >> problem je s tima virtualnima uzivatelema a vyberem posty. Kdyz jsem >> na cizim stroji, tak nechci radsi nic instalovat > > Kdyz jsi na nejakem stroji a chces nekde jinde otestovat postu, tak to > je ti fuk v jakem konkretnim formatu je tam kdesi v dalce posta > ulozena. Pristupujes k ni POPem nebo IMAPem. Dokonce nerozlisis ani > jestli tam v dalce jsou ti uzivatele virtualni nebo nativni. > Svata pravda :) > A na (neuzivatelske) ozkouseni vzdaleneho SMTP/POP3/IMAP4 systemu mas > skutecne nejlepsi ten telnet. Ten sice opravdu neni vhodnym mastrojem > pro rutinni manipulaci s postou beznym uzivatelem, ale pro ucely > "jestli to funguje" vhodny je, protoze kdyz to nefunguje, tak chybove > hlaseni, ktere ti jiny tool casto neukaze, muze rovnou prozradit proc. > > V pripade SSL variant SMTP/POP3/IMAP4 pak ke stejnemu ucelu poslouzi > "openssl s_client -connect ...", ktery nakonec zvlada i TLS varianty. > Tak s timhle jsi mne dane dostal, s ssl variantou jsem mel problem a nebyl sem schopnej to z navodu na strycku googlovi pochopit...dekuju za nakopnuti > Dan > > -- > FreeBSD mailing list (users-l at freebsd.cz) > http://www.freebsd.cz/listserv/listinfo/users-l vilem From kolar.radim at gmail.com Fri Jun 12 10:40:54 2009 From: kolar.radim at gmail.com (Radim Kolar) Date: Fri, 12 Jun 2009 10:40:54 +0200 Subject: VYRESENO: Padajici Java na freebsd Message-ID: <707e14750906120140icfdab2cg42f3cd6eccbdb410@mail.gmail.com> problemy s padajici Javou se vyresily kdyz jsem premigroval na: pkg_info | grep jdk jdk-1.5.0.16p9_2,1 Java Development Kit 1.5.0 7.1-RELEASE-p2 FreeBSD 7.1-RELEASE-p2 amd64 tedy javu rucne kompilovanou z portu. Tim beru zpet sve namitky o nepouzitelnosti Javy na fbsd pro realne produkcni nasazeni. 32bit verzi nemohu doporucit protoze vetsina aplikaci se pak kaci na nedostatek pameti, navic padala i na nedostatek pameti na stacku. Predchozi kombinace fbsd 6.2/amd64 + jdk at jiz binarni balik nebo kompilovane z portu padalo zhruba 2x za mesic. Mozna to bylo chybou v GCC. Mimochodem 3 rings jedou Javu (i servery) kompletne na fbsd, je pravda ze nemaji zas az tolik uzivatelu online (jednotky tisicu) jako runescape ale Byla by to docela hezka case study http://www.banghowdy.com/ From jozef.babjak at gmail.com Fri Jun 12 10:51:11 2009 From: jozef.babjak at gmail.com (Jozef Babjak) Date: Fri, 12 Jun 2009 10:51:11 +0200 Subject: VYRESENO: Padajici Java na freebsd In-Reply-To: <707e14750906120140icfdab2cg42f3cd6eccbdb410@mail.gmail.com> References: <707e14750906120140icfdab2cg42f3cd6eccbdb410@mail.gmail.com> Message-ID: Java na FreeBSD ma zaujima. > problemy s padajici Javou se vyresily kdyz jsem premigroval na: > > ?pkg_info | grep jdk > jdk-1.5.0.16p9_2,1 ?Java Development Kit 1.5.0 > > 7.1-RELEASE-p2 FreeBSD 7.1-RELEASE-p2 amd64 ^-- Aky bol originalny problematicky setup? Staci link do archivu, nejako si na toto issue nespominam. > tedy javu rucne kompilovanou z portu. Tim beru zpet sve namitky o > nepouzitelnosti Javy na fbsd pro realne produkcni nasazeni. 32bit > verzi nemohu doporucit protoze vetsina aplikaci se pak kaci na > nedostatek pameti, navic padala i na nedostatek pameti na stacku. ^-- Dosla pamat na stacku OS alebo Javy? V druhom pripade by malo pomoct pouzit -Xss. Co za aplikacia potrebuje tak velky stack, ze defaultny nestaci? Zatial som sa s nedostatocnym stackom stretol v praxi iba v pripade, ze v aplikacii bolo nieco chybne, obycajne neukoncena rekurzia. > Predchozi kombinace fbsd 6.2/amd64 + jdk at jiz binarni balik nebo > kompilovane z portu padalo zhruba 2x za mesic. Mozna to bylo chybou v > GCC. ^-- Pouzivam diablo-jdk16 - to sa uz myslim nekompiluje - a funguje mi bez problemov. Je pravda, ze som na 32bit, FreeBSD 6.4 a 512MB RAM a potom na 32bit, FreeBSD 7.2 a 1GB RAM. J. From dan at obluda.cz Fri Jun 12 10:51:34 2009 From: dan at obluda.cz (Dan Lukes) Date: Fri, 12 Jun 2009 10:51:34 +0200 Subject: VYRESENO: Padajici Java na freebsd In-Reply-To: <707e14750906120140icfdab2cg42f3cd6eccbdb410@mail.gmail.com> References: <707e14750906120140icfdab2cg42f3cd6eccbdb410@mail.gmail.com> Message-ID: <4A321716.20808@obluda.cz> Radim Kolar wrote: > tedy javu rucne kompilovanou z portu. Tim beru zpet sve namitky o > nepouzitelnosti Javy na fbsd pro realne produkcni nasazeni. 32bit > verzi nemohu doporucit protoze vetsina aplikaci se pak kaci na > nedostatek pameti, navic padala i na nedostatek pameti na stacku. Nemohu potvrdit, ale mozna nepouzivam vetsinu aplikaci ;-) Dan From vilem.kebrt at gmail.com Fri Jun 12 10:56:16 2009 From: vilem.kebrt at gmail.com (Vilem Kebrt) Date: Fri, 12 Jun 2009 10:56:16 +0200 Subject: Postgres replikace? Message-ID: <4A321830.2090908@gmail.com> Zdravim konferenci. Uz jsem pomerne zoufalej, pres mesic se s tim peru, kolik veci co nasel strycek google jsem procet a stale nemohu najit jednoduse konfigurovatelnej posgresql cluster. Tedy cluster. Nepotrebuju load balancing a dalsi lahudky, stacila by mi bohate replikace database z jednoho serveru na druhy a zpet. Na mysql to problem nebyl , to to umi nativne ale ani jedno z doporucenych reseni na postgre mi na freebsd nefunguje, od slonyho, pres bucardo az po skypove Londiste. Slony nedokaze navazat komunikaci(a nebo delam neco extremne blbe), Bucardo ma dokumentaci mirne receno "nahowno", nastavene to kompletne mam a nedela to nic, ani to neloguje. Londiste zase hlasi bugu v kodu a jelikoz neumim python tak jsem nahranej. Nevi prosim nekdo z Vas o pouzitelnym reseni ? ja nepotrebuju replikovat na x serveru, staci mi jeden master na druhej, ale skutecne neco co se da pouzit. Jo jeste sem zapomel na pgpool ale ten zas pada na hubu pri pokusu o replikaci-->neprenese data. OS Freebsd 7.0 , pgsql server 8.2 Diky za nakopnuti. Vilem From kolar.radim at gmail.com Fri Jun 12 11:19:03 2009 From: kolar.radim at gmail.com (Radim Kolar) Date: Fri, 12 Jun 2009 11:19:03 +0200 Subject: slony1 Message-ID: <707e14750906120219n5cd61142q9f711a4a49071304@mail.gmail.com> ja jsem psal pred lety podrobny serial o slony1 pro root.cz tak se tam mrknete, Jeste tu mam 2 dily serialu ktere mi uz nechteli vydat. Podle toho serialu by jste to mel zvladnout. slony2 nikde nepouzivam, je to prilis novy soft na to abych riskoval pripadne chyby, navic by mi muj setup v slony2 nefungoval. Ve freebsd je trochu zmrseny startup rc.d script pro slony. From vilem.kebrt at gmail.com Fri Jun 12 11:20:42 2009 From: vilem.kebrt at gmail.com (Vilem Kebrt) Date: Fri, 12 Jun 2009 11:20:42 +0200 Subject: slony1 In-Reply-To: <707e14750906120219n5cd61142q9f711a4a49071304@mail.gmail.com> References: <707e14750906120219n5cd61142q9f711a4a49071304@mail.gmail.com> Message-ID: <4A321DEA.5010807@gmail.com> Radim Kolar wrote: > ja jsem psal pred lety podrobny serial o slony1 pro root.cz tak se tam > mrknete, Jeste tu mam 2 dily serialu ktere mi uz nechteli vydat. Podle > toho serialu by jste to mel zvladnout. > > slony2 nikde nepouzivam, je to prilis novy soft na to abych riskoval > pripadne chyby, navic by mi muj setup v slony2 nefungoval. Ve freebsd > je trochu zmrseny startup rc.d script pro slony. > -- > FreeBSD mailing list (users-l at freebsd.cz) > http://www.freebsd.cz/listserv/listinfo/users-l > Tak tenhle serial byl prvni podle ktereho jsem to zkousel...a nepodarilo se.... asi jsem natvrdlej... momentalne jsem spustil update toho serveru, skusim to potom znovu. Vilem From kolar.radim at gmail.com Fri Jun 12 11:29:05 2009 From: kolar.radim at gmail.com (Radim Kolar) Date: Fri, 12 Jun 2009 11:29:05 +0200 Subject: VYRESENO: Padajici Java na freebsd In-Reply-To: References: <707e14750906120140icfdab2cg42f3cd6eccbdb410@mail.gmail.com> Message-ID: <707e14750906120229s76cf81a9l70de9d5743c5708c@mail.gmail.com> > ?^-- Dosla pamat na stacku OS alebo Javy? To nevim. Zasegfaultilo to a hotspot vm udelal crashdump. Rekl bych ze to byl memory leak na stacku v JVM, ne v java aplikaci. > ?^-- Pouzivam diablo-jdk16 - to sa uz myslim nekompiluje - a funguje > mi bez problemov. jdk16 je prilis nestabilni a to i na windows nebo linuxech. Eclipse kuprikladu potrebuje bugfixy z 1.6.10 aby na tom alespon kvalitne bezelo a nepadalo. Zda je IBM JDK1.6 lepsi tot otazka. zatim se ani ibm do jdk1.6 moc nehrne a doporucuje zasadne pro produkci 1.5 ackoliv jim v 1,6 jedou Lotus Notes a Sametime. Je fakt ze notesy mi uz nekolikrat spadly ze se skacela jvm, sametime mi jeste nespadlo. Ja bych 1.6 v produkci neriskoval zejmena tam kde jde o hodne velke prachy kdyz aplikace sleti. Na hrani na desktopu je to ale jedno. From jozef.babjak at gmail.com Fri Jun 12 12:03:19 2009 From: jozef.babjak at gmail.com (Jozef Babjak) Date: Fri, 12 Jun 2009 12:03:19 +0200 Subject: Postgres replikace? In-Reply-To: <4A321830.2090908@gmail.com> References: <4A321830.2090908@gmail.com> Message-ID: > Nepotrebuju load balancing a dalsi lahudky, stacila by mi bohate replikace > database z jednoho serveru na druhy a zpet. ^-- Pri potrebe master-to-slave replikacie sme uspesne nasadzovali EnterpriseDB (http://www.enterprisedb.com/), co je obaleny PostgreSQL + slony + oracle sql syntax support + dalsie veci. Boli sme s tym velmi spokojni. Zda sa, ze Ty potrebujes master-to-master replikaciu; tu neviem, ci EnterpriseDB ma. Vlastne mi nie je zname, ze by nejaka open/free relacna databaza umoznovala master-to-master replikaciu. IMHO je to ficura dostupna iba v komercnych tazkotonaznych databazach typu Oracle ci DB2. J. From kolar.radim at gmail.com Fri Jun 12 23:26:40 2009 From: kolar.radim at gmail.com (Radim Kolar) Date: Fri, 12 Jun 2009 23:26:40 +0200 Subject: gjournal In-Reply-To: <49AE899D.7020700@obluda.cz> References: <707e14750903040535r41fc93b2u547778d10031bd01@mail.gmail.com> <49AE899D.7020700@obluda.cz> Message-ID: <707e14750906121426x7499e7d4vaec5e9233c22b8c8@mail.gmail.com> Tak jsem otestoval gjournal na SCSI SAS disksich s HW RAID 1 a tam vykon pro singleuser zapis (nejhorsi pripad) po jeho nasazeni klesl asi jen o 1/4 v kombinaci s 7.2/amd64 bez kernel panicu jen s fsync: giving up on dirty Takze s HW RAIDEM to zase nejake extremne pomale neni, ale mailing listy jsou plne stiznosti na hardlocky/panicy. Vypada to ze velikost journalu 2GB se zda byt dostacujici, ale test mi prosel i s 1GB bez panicu, zkousel jsem jeste 256MB ale to bylo malo. From kolar.radim at gmail.com Sat Jun 13 12:50:36 2009 From: kolar.radim at gmail.com (Radim Kolar) Date: Sat, 13 Jun 2009 12:50:36 +0200 Subject: VYRESENO: Padajici Java na freebsd In-Reply-To: <4A321716.20808@obluda.cz> References: <707e14750906120140icfdab2cg42f3cd6eccbdb410@mail.gmail.com> <4A321716.20808@obluda.cz> Message-ID: <707e14750906130350t258354a6j7521b790c6006e60@mail.gmail.com> >> 32bit verzi nemohu doporucit protoze vetsina aplikaci se pak kaci na >> nedostatek pameti, > Nemohu potvrdit, ale mozna nepouzivam vetsinu aplikaci ;-) no 32bit freebsd dava maximalne 512MB na proces, pokud se nepoladi kernel (nejsem si jist zda se nemusi kvuli tomu prekompilovat), coz je dost malo. (hsn at ttyp0):~% ulimit -a -d: data seg size (kbytes) 524288 -s: stack size (kbytes) 65536 -u: processes 1789 -n: file descriptors 22500 Proc je to default tak nizky, to nevim. From jojo at matfyz.cz Sat Jun 13 14:00:32 2009 From: jojo at matfyz.cz (Marian Cerny) Date: Sat, 13 Jun 2009 14:00:32 +0200 Subject: Postgres replikace? In-Reply-To: References: <4A321830.2090908@gmail.com> Message-ID: <4A3394E0.4070001@matfyz.cz> On 12.6.2009 12:03, Jozef Babjak wrote: > Vlastne mi nie je zname, ze by nejaka > open/free relacna databaza umoznovala master-to-master replikaciu. > IMHO je to ficura dostupna iba v komercnych tazkotonaznych databazach > typu Oracle ci DB2. > Mysql zvlada circular multi-master replication uz od verzie 3.23. Marian From freebsd-users-l at wilbury.sk Sat Jun 13 14:09:40 2009 From: freebsd-users-l at wilbury.sk (Juraj Lutter) Date: Sat, 13 Jun 2009 14:09:40 +0200 Subject: Postgres replikace? In-Reply-To: <4A3394E0.4070001@matfyz.cz> References: <4A321830.2090908@gmail.com> <4A3394E0.4070001@matfyz.cz> Message-ID: <4A339704.6010505@wilbury.sk> Marian Cerny wrote: > On 12.6.2009 12:03, Jozef Babjak wrote: >> Vlastne mi nie je zname, ze by nejaka >> open/free relacna databaza umoznovala master-to-master replikaciu. >> IMHO je to ficura dostupna iba v komercnych tazkotonaznych databazach >> typu Oracle ci DB2. >> > > Mysql zvlada circular multi-master replication uz od verzie 3.23. Ale v akej kvalite... -- Juraj Lutter | /\ ASCII Ribbon Campaign otis (at) wilbury (dot) sk | \/ - NO HTML/RTF in e-mail http://www.wilbury.sk/ | /\ - NO Word docs in e-mail JID: otis (at) jabber (dot) vx (dot) sk !07/11 PDP a ni deppart m'I !pleH From dan at obluda.cz Sat Jun 13 22:09:00 2009 From: dan at obluda.cz (Dan Lukes) Date: Sat, 13 Jun 2009 22:09:00 +0200 Subject: VYRESENO: Padajici Java na freebsd In-Reply-To: <707e14750906130350t258354a6j7521b790c6006e60@mail.gmail.com> References: <707e14750906120140icfdab2cg42f3cd6eccbdb410@mail.gmail.com> <4A321716.20808@obluda.cz> <707e14750906130350t258354a6j7521b790c6006e60@mail.gmail.com> Message-ID: <4A34075C.9000802@obluda.cz> Radim Kolar wrote: >>> 32bit verzi nemohu doporucit protoze vetsina aplikaci se pak kaci na >>> nedostatek pameti, > Proc je to default tak nizky, to nevim. 1/2GB na zasobniku je "nizky" ? Asi jsem fakt uz moc starej ... Dan From jojo at matfyz.cz Sun Jun 14 09:24:50 2009 From: jojo at matfyz.cz (Marian Cerny) Date: Sun, 14 Jun 2009 09:24:50 +0200 Subject: VYRESENO: Padajici Java na freebsd In-Reply-To: <4A34075C.9000802@obluda.cz> References: <707e14750906120140icfdab2cg42f3cd6eccbdb410@mail.gmail.com> <4A321716.20808@obluda.cz> <707e14750906130350t258354a6j7521b790c6006e60@mail.gmail.com> <4A34075C.9000802@obluda.cz> Message-ID: <4A34A5C2.3080901@matfyz.cz> On 13.6.2009 22:09, Dan Lukes wrote: > Radim Kolar wrote: >>>> 32bit verzi nemohu doporucit protoze vetsina aplikaci se pak kaci na >>>> nedostatek pameti, > >> Proc je to default tak nizky, to nevim. > > 1/2GB na zasobniku je "nizky" ? > > Asi jsem fakt uz moc starej ... Default zasobnik je 64 MB, "problem" je data size, ktora ma default limit 512 MB. Narazil som na tento limit uz niekolko krat (java, mysql), takze aj mne tento limit pripada nizky. Predsa len v dobe, ked je 2 GB a viac pameti samozrejmostou, je limit 512 MB na proces dost nizky. Na 64 bit je to 32GB. Marian From jojo at matfyz.cz Sun Jun 14 10:18:25 2009 From: jojo at matfyz.cz (Marian Cerny) Date: Sun, 14 Jun 2009 10:18:25 +0200 Subject: VYRESENO: Padajici Java na freebsd In-Reply-To: <4A34A5C2.3080901@matfyz.cz> References: <707e14750906120140icfdab2cg42f3cd6eccbdb410@mail.gmail.com> <4A321716.20808@obluda.cz> <707e14750906130350t258354a6j7521b790c6006e60@mail.gmail.com> <4A34075C.9000802@obluda.cz> <4A34A5C2.3080901@matfyz.cz> Message-ID: <4A34B251.8050203@matfyz.cz> On 14.6.2009 9:24, Marian Cerny wrote: > On 13.6.2009 22:09, Dan Lukes wrote: >> Radim Kolar wrote: >>>>> 32bit verzi nemohu doporucit protoze vetsina aplikaci se pak kaci na >>>>> nedostatek pameti, >> >>> Proc je to default tak nizky, to nevim. >> >> 1/2GB na zasobniku je "nizky" ? >> >> Asi jsem fakt uz moc starej ... > > Default zasobnik je 64 MB, "problem" je data size, ktora ma default > limit 512 MB. Narazil som na tento limit uz niekolko krat (java, > mysql), takze aj mne tento limit pripada nizky. Predsa len v dobe, ked > je 2 GB a viac pameti samozrejmostou, je limit 512 MB na proces dost > nizky. Na 64 bit je to 32GB. Pozeral som este ako je to na 7.x a podla dokumentacie by s padanim aplikacii pri potrebe viac ako 512 MB pamete nemal byt problem aj ked je default data size obmedzeny na 512 MB, pretoze tam sa pouziva jemalloc, ktory defaultne pouziva mmap() miesto sbrk(). mmap by mal mat limit polovicku adresovatelnej pameti, teda na 32bit by to malo byt 2GB. Naviac standardne sa jemalloc sprava tak, ze ked sa nepodari alokovat pamet cez mmap, tak skusi este sbrk. Celkovy limit na alokovatelnu pamet aplikacie by na 7.x by mala byt cca 2,5 GB. Marian From kolar.radim at gmail.com Sun Jun 14 11:55:05 2009 From: kolar.radim at gmail.com (Radim Kolar) Date: Sun, 14 Jun 2009 11:55:05 +0200 Subject: freebsd 7.x a pamet - forkbomb Message-ID: <707e14750906140255n491580efk86bd7e3cc6fa6a21@mail.gmail.com> > Pozeral som este ako je to na 7.x a podla dokumentacie by s padanim > aplikacii pri potrebe viac ako 512 MB pamete nemal byt problem aj ked je > default data size obmedzeny na 512 MB, pretoze tam sa pouziva jemalloc, > ktory defaultne pouziva mmap() miesto sbrk(). mmap by mal mat limit > polovicku adresovatelnej pameti, teda na 32bit by to malo byt 2GB. Naviac > standardne sa jemalloc sprava tak, ze ked sa nepodari alokovat pamet cez > mmap, tak skusi este sbrk. Celkovy limit na alokovatelnu pamet aplikacie by > na 7.x by mala byt cca 2,5 GB. je to pravda, overil jsem to pomoci forkbomb. takze na 7.x nemusime uz nic defaultne menit. akorat ma 7.x dost velky problemy pokud ma user dovoleno vice procesu nez je celkovy procmax systemu a spusti forkbomb -c -f. V 6.x je to podobne, 5.3 na tom byla nejlepe. Nicmene zajimave je ze kdyz se uzivateli da maxproc na 1k (system ma u mne default asi 3.5k) a on spusti forkbomb -c -f tak se da s tou masinou normalne interaktivne pracovat (pod jinym userem) coz u linuxu ubuntu 8.04lts nejde ani nahodou, tam cekate 2 minuty na vypis z ls. From vilem.kebrt at gmail.com Sun Jun 14 12:43:02 2009 From: vilem.kebrt at gmail.com (Vilem Kebrt) Date: Sun, 14 Jun 2009 12:43:02 +0200 Subject: Postgres replikace? In-Reply-To: <4A339704.6010505@wilbury.sk> References: <4A321830.2090908@gmail.com> <4A3394E0.4070001@matfyz.cz> <4A339704.6010505@wilbury.sk> Message-ID: <4A34D436.7060306@gmail.com> mysql naprosto dostatecne, ma to nativne, nastavi se jeden jako master, druhej jako slave a obracene a funguje to jak ma. to mam vyzkousene, problem je ze vsechny ty data jsou v postgre a co se tyka mysql tak k tomu nemam duveru ohledne velkejch objemu dat pri dotazech, zkouseli jsme to pretansferovat do mysql a silene se natahly nekery dotazy, hw to neni ten je dostatecnej (4,xeon 2 jadro, 12gb ram). vilem Juraj Lutter napsal(a): > Marian Cerny wrote: >> On 12.6.2009 12:03, Jozef Babjak wrote: >>> Vlastne mi nie je zname, ze by nejaka >>> open/free relacna databaza umoznovala master-to-master replikaciu. >>> IMHO je to ficura dostupna iba v komercnych tazkotonaznych databazach >>> typu Oracle ci DB2. >>> >> >> Mysql zvlada circular multi-master replication uz od verzie 3.23. > > Ale v akej kvalite... > From dan at obluda.cz Sun Jun 14 13:55:27 2009 From: dan at obluda.cz (Dan Lukes) Date: Sun, 14 Jun 2009 13:55:27 +0200 Subject: VYRESENO: Padajici Java na freebsd In-Reply-To: <4A34A5C2.3080901@matfyz.cz> References: <707e14750906120140icfdab2cg42f3cd6eccbdb410@mail.gmail.com> <4A321716.20808@obluda.cz> <707e14750906130350t258354a6j7521b790c6006e60@mail.gmail.com> <4A34075C.9000802@obluda.cz> <4A34A5C2.3080901@matfyz.cz> Message-ID: <4A34E52F.2070808@obluda.cz> Marian Cerny wrote: > Predsa len v dobe, ked je 2 GB a viac pameti samozrejmostou, je limit 512 MB na proces dost nizky. Aby na multiprocesovem/multiuzivatelskem operacnim systemu jeden proces jedineho uzivatele sam zabral 25% z dostupne pameti mi pripada naprosto neprijatelne hodne. Dan From jojo at matfyz.cz Sun Jun 14 18:55:39 2009 From: jojo at matfyz.cz (Marian Cerny) Date: Sun, 14 Jun 2009 18:55:39 +0200 Subject: VYRESENO: Padajici Java na freebsd In-Reply-To: <4A34E52F.2070808@obluda.cz> References: <707e14750906120140icfdab2cg42f3cd6eccbdb410@mail.gmail.com> <4A321716.20808@obluda.cz> <707e14750906130350t258354a6j7521b790c6006e60@mail.gmail.com> <4A34075C.9000802@obluda.cz> <4A34A5C2.3080901@matfyz.cz> <4A34E52F.2070808@obluda.cz> Message-ID: <4A352B8B.1070004@matfyz.cz> On 14.6.2009 13:55, Dan Lukes wrote: >> Predsa len v dobe, ked je 2 GB a viac pameti samozrejmostou, je limit >> 512 MB na proces dost nizky. > > Aby na multiprocesovem/multiuzivatelskem operacnim systemu jeden > proces jedineho uzivatele sam zabral 25% z dostupne pameti mi pripada > naprosto neprijatelne hodne. Preco? Ono vseobecne sa to urcite neda nastavit tak, aby to vyhovovalo vsetkym - zalezi, ako sa dany system pouziva. Naviac to, ze proces ma alokovanych 25% velkosti fyzickej pamete neznamena, ze celych 25% musi byt vo fyzickej pameti. A z opacnej strany - nie je problem spustit procesov viacej tak, aby zaberali 100% dostupnej pameti aj napriek obmedzeniu velkosti jedneho procesu. Existuje nejake obmedzenie aj na celkovu alokovanu pamet vsetkych procesov jedneho uzivatela? Mne zase pride, ze pri 4 GB RAM, je 12,5% na proces u serveru, na ktorom bezi Apache + MySQL neprijatelne malo. Samozrejme je nieco ine, ak tam mas realnych uzivatelov a naviac uzivatelov, ktori nie su doveryhodni. V takom pripade im ale nastavis obmedzenia ake uznas za vhodne. Marian From jojo at matfyz.cz Sun Jun 14 21:35:13 2009 From: jojo at matfyz.cz (Marian Cerny) Date: Sun, 14 Jun 2009 21:35:13 +0200 Subject: Prestahovanie serveru za NAT In-Reply-To: <49F7E737.2040407@obluda.cz> References: <49F5AE65.10506@matfyz.cz> <49F5B9F3.7050901@obluda.cz> <49F5F90A.6000606@matfyz.cz> <49F7E737.2040407@obluda.cz> Message-ID: <4A3550F1.6070704@matfyz.cz> On 29.4.2009 7:35, Dan Lukes wrote: >> Vecsinu dolezitych sluzieb som premigroval ale zostalo tam par, ktore >> nepojde premigrovat tak jednoducho - naklady na migrovanie by boli >> mnoho krat vyssie nez je zisk z danych sluzieb. > > Skutecne je presunuti sluzeb z toho Linuxu na nejaky server, ktery v > hostingu zustava pracnejsi, nez ta hruza s presouvanim IP adresy nekam > uplne jinam ? Se vsemi budoucimi pripadnymi problemy a jejich > podstatne slozitejsim ladeni a reseni ? Zni mi to dost > nepravdepodobne. Podle me je to, zejmena z dlouhodobejsiho hlediska, v > porovnani s presunutim na jiny stroj spise drahe reseni. Skutocne by bola migracia sluzieb ovela pracnejsia. Nastastie medzi tym dalsia sluzba zanikla a tych sluzieb uz tam vela nezostava. Niekedy v buducnu snad este nieco zanikne a zvysok sa premigruje. >>> Jinymi slovy, ty chces puvodni adresu prendat na jiny pocitac, >>> stavajici pocitac kamsi odnest a zajistit, aby pri pristupu na >>> puvodni IP na novem pocitaci dotaz obdrzel stary, prestehovany, >>> pocitac kdesi jinde. > >> 1. Poziadam hosting, aby mi nastavili staticke smerovanie starej IP >> adresy Linuxoveho serveru na FreeBSD server - to ale asi nebude >> mozne. Da sa to zariadit aj inac? Napriklad cez ARP? Aby vsetky >> pakety pre staru IP adresu dostaval FreeBSD server, ale aby ich dalej >> routoval? > > Predpokladam, ze ty dva stroje jsou ve stejne siti - ano, pak je > resenim ARP. V manualu od ARP hledej klicove slovo "pub". Najvecsi problem bol prave s ARP - tie dva stroje neboli v rovnakej sieti. Tak som tu druhu cast tunelu dal na iny server, nez som povodne chcel - pretoze ten bol v rovnakej sieti. Skoda, ze tam je toto obmedzenie na rovnaku siet - pretoze keby tam nebolo, tak by to fungovalo aj na tom povodnom. >> 2. Medzi FreeBSD serverom a FreeBSD routerom v kancelarii rozbeham >> nejaky tunel. Ten tunel by na jednom konci mal lokalnu adresu napr. >> 10.0.0.1 a na druhom 10.0.0.2. >> 3. Na FreeBSD serveri nastavim staticke smerovanie starej IP adresy >> na 10.0.0.2. >> 4. Na FreeBSD routeri pridam IP adresu o jedna mensiu nez staru IP >> adresu Linuxoveho serveru s co najmensou maskou... ze tym nebudu >> dosiahnutelne nejake IP adresy nevadi, jedna sa o backendovy stroj >> ktory aj tak komunikuje iba s par vybranymi servermi. > > Nejmensi rozumne pouzitelna maska je /30 - ale to jakou masku a jakou > IP pro router budes moct pouzit plyne ze skutecne soucasne ciselne > hodnoty IP. > >> 5. Na Linuxovom serveri nastavim default router staru IP adresu o >> jednotku nizsiu. >> 6. Nejakym sposobom pakety z IP adresy Linuxoveho serveru na FreeBSD >> routeri poslem zase tunelom na 10.0.0.1. (Uz viem, ze sa zrejme bude >> jednat o source-routing. Ten ipfw fwd si k tomu nastudujem.) >> 7. Na FreeBSD serveri sa pakety budu dalej smerovat klasicky na >> default router. >> >> Dava to takto zmysel? Alebo je tam nieco, co takto principialne >> nepojde urobit? > > Zni to jako neco, co by teoreticky fungovat mohlo. Pokud jsem neco > neprehledl. Jake prakticke problemy se objevi az to zkusis si > netroufam odhadnout. A na otazku, jestli to cele ma smysl bych se > radsi zdrzel odpovedi ;-) Tak sa to nakoniec podarilo. Uz to niekolko dni bezi a bez problemov. >> Ako sa takyto GIF tunel vytvori? Mozes ma odkazat na nejaku vhodnu >> dokumentaciu? > > O manualovych strankach uz jsi slysel ? ;-) > > Tak "man gif". No a je to sitovy interface, takze asi i "man ifconfig" > a nem koukat po "gif". Samozrejme, ze "man gif" bolo prve, co som skusil. Lenze ta mi velmi vhodna neprisla, preto som sa pytal na nieco ine. Ale nasiel som nieco cez google, napriklad aj cast "VPN over IPsec" z handbooku: http://www.freebsd.org/doc/en/books/handbook/ipsec.html#AEN20923 . Marian From dan at obluda.cz Mon Jun 15 08:12:26 2009 From: dan at obluda.cz (Dan Lukes) Date: Mon, 15 Jun 2009 08:12:26 +0200 Subject: VYRESENO: Padajici Java na freebsd In-Reply-To: <4A352B8B.1070004@matfyz.cz> References: <707e14750906120140icfdab2cg42f3cd6eccbdb410@mail.gmail.com> <4A321716.20808@obluda.cz> <707e14750906130350t258354a6j7521b790c6006e60@mail.gmail.com> <4A34075C.9000802@obluda.cz> <4A34A5C2.3080901@matfyz.cz> <4A34E52F.2070808@obluda.cz> <4A352B8B.1070004@matfyz.cz> Message-ID: <4A35E64A.9060407@obluda.cz> Marian Cerny wrote: > On 14.6.2009 13:55, Dan Lukes wrote: >>> Predsa len v dobe, ked je 2 GB a viac pameti samozrejmostou, je limit >>> 512 MB na proces dost nizky. >> >> Aby na multiprocesovem/multiuzivatelskem operacnim systemu jeden >> proces jedineho uzivatele sam zabral 25% z dostupne pameti mi pripada >> naprosto neprijatelne hodne. > > Preco? Ono vseobecne sa to urcite neda nastavit tak, aby to vyhovovalo > vsetkym - zalezi, ako sa dany system pouziva. Naviac to, ze proces ma > alokovanych 25% velkosti fyzickej pamete neznamena, ze celych 25% musi > byt vo fyzickej pameti Uz jsi videl vykon swapujiciho stroje ? Swapovani je "posledni zachrana" pro kratkodobe, nahle a neocekavatelne vysoke alokace pameti, aby to nepopadalo. Ale ne neco, co muzes povazovat za bezny stav systemu. Obzvlast, pokud ma skutecne uzivatele. > Samozrejme je nieco ine, ak tam mas realnych uzivatelov a naviac uzivatelov, ktori nie su doveryhodni. V > takom pripade im ale nastavis obmedzenia ake uznas za vhodne. No, a tohle prohlaseni, se kterym ja souhlasim, spolecne s prohlasenim Radima o tom, ze pro vetsinu Javovych aplikaci je 1/2GB segment malo me vede k zaveru, ze vetsina aplikaci neni prilis zpusobila k instalaci na viceuzivatelskem systemu. Ale kdyz uvazim, ze Java, to je preci to portabilni, kod napises jednou a ono to pak bezi vsude - dokonce i v mobilnich telefonech, tak se nemuzu zbavit dojmu, ze to prohlaseni je stejne podivne. Nerikejte mi, ze mobilni telefony maji nejmene 1GB operacni pameti pro Javu. Furt se nemuzu zbavit dojmu, ze cely, zadrhelem teto diskuse je to podivne neurcite spojeni "vetsina aplikaci" Ale nechme tady dalsi diskuse na toto tema. Zatahl jsem to sem ja, neni to k veci a to bych jako moderator nemel. Toto neni konference urcena k reseni diskusi nad tim, jestli jsou neschopni programatori Javovych appletu, ze nedokazou ani bezne aplikace napsat s rozumnou potrebou pameti, nebo jestli je to neoddelitelna vlastnosti samotne Javy ... Dan From dan at obluda.cz Mon Jun 15 08:18:04 2009 From: dan at obluda.cz (Dan Lukes) Date: Mon, 15 Jun 2009 08:18:04 +0200 Subject: Prestahovanie serveru za NAT In-Reply-To: <4A3550F1.6070704@matfyz.cz> References: <49F5AE65.10506@matfyz.cz> <49F5B9F3.7050901@obluda.cz> <49F5F90A.6000606@matfyz.cz> <49F7E737.2040407@obluda.cz> <4A3550F1.6070704@matfyz.cz> Message-ID: <4A35E79C.8010007@obluda.cz> Marian Cerny wrote: >>> Ako sa takyto GIF tunel vytvori? Mozes ma odkazat na nejaku vhodnu >>> dokumentaciu? > Samozrejme, ze "man gif" bolo prve, co som skusil. Lenze ta mi velmi > vhodna neprisla, preto som sa pytal na nieco ine. Ale nasiel som nieco > cez google, napriklad aj cast "VPN over IPsec" z handbooku: > http://www.freebsd.org/doc/en/books/handbook/ipsec.html#AEN20923 . Zastavam teorii, ze (nejmene na FreeBSD) je nejlepsi metoda implementace IPSEC tunelu tak, ze to nejprve zazenes do GIF tunelu (coz jde klasickymi metodami jako je routovaci tabulka, v horsim pripade "ipfw fwd") a IPSEC se pak zabyva uz jen pakety toho GIF tunelu. Pokud vyrobis IPSEC tunel rovnou, je to pomerne neintuitivni (pakety se do tunelu "ztraceji" a z nej se "zjevuji" coz ti muze znacne zkomplikovat analyzu problemu, ktere treba ani s IPSEC nesouviseji) a ve slozitejsich sitich je problem i s routingem. Ale - Your mileage may vary. Dan From jozef.babjak at gmail.com Mon Jun 15 08:21:29 2009 From: jozef.babjak at gmail.com (Jozef Babjak) Date: Mon, 15 Jun 2009 08:21:29 +0200 Subject: VYRESENO: Padajici Java na freebsd In-Reply-To: <4A34A5C2.3080901@matfyz.cz> References: <707e14750906120140icfdab2cg42f3cd6eccbdb410@mail.gmail.com> <4A321716.20808@obluda.cz> <707e14750906130350t258354a6j7521b790c6006e60@mail.gmail.com> <4A34075C.9000802@obluda.cz> <4A34A5C2.3080901@matfyz.cz> Message-ID: Ahojte, trochu sa mi to vidi dopletene s tymi cislami. > Default zasobnik je 64 MB, "problem" je data size, ktora ma default limit ^-- Default zasobnik je 256kB alebo 512kB (ano, kilobyte). Zasobnik je "per thread". Pri dosiahnuti jeho limitu nastava StackOverflowError. 64MB bol default limit na heap v starsich implementaciach sunovskeho JVM. Momentalne je default limit urceny autodetekciou, podobne ako defaultny HotSpot. Maximalnu velkost heap-u mozno nastavit pomocou parametra -Xmx (osobne som nikdy nepochopil, preco sa JVM nemoze spravat ako kazdy iny proces a proste "rast" ked to potrebuje, ale verim ze inzinieri v Sun-e mali na to dobry dovod). Aku maximalnu velkost mozno heap-u nastavit zavisi od platformy, pre windows je to IIRC najmenej, tesne pod 1,5GB. O Solarisoch a Linuxe hovori priamo man java: On Solaris 7 and Solaris 8 SPARC platforms, the upper limit for this value is approximately 4000m minus overhead amounts. On Solaris 2.6 and x86 platforms, the upper limit is approximately 2000m minus overhead amounts. On Linux platforms, the upper limit is approximately 2000m minus overhead amounts. Mam tu FreeBSD 7.2 RELEASE a diablo-jdk-16 z portov. Maximalny nastavitelny heap je 1954MB. J. From jojo at matfyz.cz Mon Jun 15 09:39:21 2009 From: jojo at matfyz.cz (Marian Cerny) Date: Mon, 15 Jun 2009 09:39:21 +0200 Subject: VYRESENO: Padajici Java na freebsd In-Reply-To: <4A35E64A.9060407@obluda.cz> References: <707e14750906120140icfdab2cg42f3cd6eccbdb410@mail.gmail.com> <4A321716.20808@obluda.cz> <707e14750906130350t258354a6j7521b790c6006e60@mail.gmail.com> <4A34075C.9000802@obluda.cz> <4A34A5C2.3080901@matfyz.cz> <4A34E52F.2070808@obluda.cz> <4A352B8B.1070004@matfyz.cz> <4A35E64A.9060407@obluda.cz> Message-ID: <4A35FAA9.3080206@matfyz.cz> On 15.6.2009 8:12, Dan Lukes wrote: >> Naviac to, ze proces ma alokovanych 25% velkosti fyzickej pamete >> neznamena, ze celych 25% musi byt vo fyzickej pameti > > Uz jsi videl vykon swapujiciho stroje ? > > Swapovani je "posledni zachrana" pro kratkodobe, nahle a > neocekavatelne vysoke alokace pameti, aby to nepopadalo. Ale ne neco, > co muzes povazovat za bezny stav systemu. Obzvlast, pokud ma skutecne > uzivatele. Nie vzdy musi byt pouzitie swapu take drasticke. Urcite je vela aplikacii, ktore dlhodobo nepouzivaju velku cast svojej pamete. Ak sa odswapuju taketo casti, tak by to vykonu nemalo velmi ublizit. Dokonca by sa mi aj pacilo, keby system proaktivne nejake casti aplikacii odswapoval. Tym by vzniklo viacej pameti pre rozne cache a vykon by to mohlo aj zvysit. Lenze toto sucasny system nerobi. Ale uz sa mi stalo, ze systemu dochadzala pamet, potom sa pustil nejaky kratkodoby ale vecsi proces, ktory sposobil odswapovanie znacnej casti ostatnych procesov a ked skoncil, tak sa vykon stroja zlepsil. Vo swape zostali megabajty o ktore nikto nejavil zaujem. Lenze to bolo v dobe ked bezna operacna pamet mala tak 64-256 MB. Marian From jojo at matfyz.cz Mon Jun 15 09:45:24 2009 From: jojo at matfyz.cz (Marian Cerny) Date: Mon, 15 Jun 2009 09:45:24 +0200 Subject: Prestahovanie serveru za NAT In-Reply-To: <4A35E79C.8010007@obluda.cz> References: <49F5AE65.10506@matfyz.cz> <49F5B9F3.7050901@obluda.cz> <49F5F90A.6000606@matfyz.cz> <49F7E737.2040407@obluda.cz> <4A3550F1.6070704@matfyz.cz> <4A35E79C.8010007@obluda.cz> Message-ID: <4A35FC14.5030200@matfyz.cz> On 15.6.2009 8:18, Dan Lukes wrote: >>>> Ako sa takyto GIF tunel vytvori? Mozes ma odkazat na nejaku vhodnu >>>> dokumentaciu? > >> Samozrejme, ze "man gif" bolo prve, co som skusil. Lenze ta mi velmi >> vhodna neprisla, preto som sa pytal na nieco ine. Ale nasiel som >> nieco cez google, napriklad aj cast "VPN over IPsec" z handbooku: >> http://www.freebsd.org/doc/en/books/handbook/ipsec.html#AEN20923 . > > Zastavam teorii, ze (nejmene na FreeBSD) je nejlepsi metoda > implementace IPSEC tunelu tak, ze to nejprve zazenes do GIF tunelu > (coz jde klasickymi metodami jako je routovaci tabulka, v horsim > pripade "ipfw fwd") a IPSEC se pak zabyva uz jen pakety toho GIF > tunelu. Pokud vyrobis IPSEC tunel rovnou, je to pomerne neintuitivni > (pakety se do tunelu "ztraceji" a z nej se "zjevuji" coz ti muze > znacne zkomplikovat analyzu problemu, ktere treba ani s IPSEC > nesouviseji) a ve slozitejsich sitich je problem i s routingem. > > Ale - Your mileage may vary. Teraz si uplne nie som uplne isty, k comu patri tato tvoja odpoved. Ja som pouzil iba ten GIF tunel bez IPsec. Alebo ide o to, ze ten odkaz do handbooku to nerobi podla tvojej teorie? Mne pride, ze ten prave pouziva GIF tunel, tak to asi bude podla tvojej teorie. Tak neviem. Marian From jojo at matfyz.cz Mon Jun 15 09:55:35 2009 From: jojo at matfyz.cz (Marian Cerny) Date: Mon, 15 Jun 2009 09:55:35 +0200 Subject: VYRESENO: Padajici Java na freebsd In-Reply-To: References: <707e14750906120140icfdab2cg42f3cd6eccbdb410@mail.gmail.com> <4A321716.20808@obluda.cz> <707e14750906130350t258354a6j7521b790c6006e60@mail.gmail.com> <4A34075C.9000802@obluda.cz> <4A34A5C2.3080901@matfyz.cz> Message-ID: <4A35FE77.4000706@matfyz.cz> On 15.6.2009 8:21, Jozef Babjak wrote: > Ahojte, > > trochu sa mi to vidi dopletene s tymi cislami. > > >> Default zasobnik je 64 MB, "problem" je data size, ktora ma default limit >> > > ^-- Default zasobnik je 256kB alebo 512kB (ano, kilobyte). Zasobnik > je "per thread". Pri dosiahnuti jeho limitu nastava > StackOverflowError. > > 64MB bol default limit na heap v starsich implementaciach sunovskeho > JVM. V diskusii sme sa odklonili od Javy k FreeBSD systemu - pretoze tu niekto spomenul, ze limit systemu na aplikaciu (aj Java) je 512 MB. Ta spomenuta velkost zasobnika bola teda systemova - konkretne som cerpal z limits na FreeBSD 6 aj 7. Marian From kolar.radim at gmail.com Mon Jun 15 12:27:20 2009 From: kolar.radim at gmail.com (Radim Kolar) Date: Mon, 15 Jun 2009 12:27:20 +0200 Subject: VYRESENO: Padajici Java na freebsd In-Reply-To: <4A35FAA9.3080206@matfyz.cz> References: <707e14750906120140icfdab2cg42f3cd6eccbdb410@mail.gmail.com> <4A321716.20808@obluda.cz> <707e14750906130350t258354a6j7521b790c6006e60@mail.gmail.com> <4A34075C.9000802@obluda.cz> <4A34A5C2.3080901@matfyz.cz> <4A34E52F.2070808@obluda.cz> <4A352B8B.1070004@matfyz.cz> <4A35E64A.9060407@obluda.cz> <4A35FAA9.3080206@matfyz.cz> Message-ID: <707e14750906150327s655c6b2br6c6a02fcc2c46cae@mail.gmail.com> > Nie vzdy musi byt pouzitie swapu take drasticke. Urcite je vela aplikacii, > ktore dlhodobo nepouzivaju velku cast svojej pamete. Ak sa odswapuju taketo > casti, tak by to vykonu nemalo velmi ublizit. Dokonca by sa mi aj pacilo, na to je sysctl swap_idle, defaultne to swapovalo prilis ja jsem to potunil na: vm.swap_idle_threshold2: 45 vm.swap_idle_threshold1: 2 vm.swap_idle_enabled: 1 POZOR -> nefunguje s ULE! From kolar.radim at gmail.com Mon Jun 15 12:39:37 2009 From: kolar.radim at gmail.com (Radim Kolar) Date: Mon, 15 Jun 2009 12:39:37 +0200 Subject: VYRESENO: Padajici Java na freebsd In-Reply-To: References: <707e14750906120140icfdab2cg42f3cd6eccbdb410@mail.gmail.com> <4A321716.20808@obluda.cz> <707e14750906130350t258354a6j7521b790c6006e60@mail.gmail.com> <4A34075C.9000802@obluda.cz> <4A34A5C2.3080901@matfyz.cz> Message-ID: <707e14750906150339u6f723970yf29be05a0dad7473@mail.gmail.com> > defaultny HotSpot. Maximalnu velkost heap-u mozno nastavit pomocou > parametra -Xmx (osobne som nikdy nepochopil, preco sa JVM nemoze > spravat ako kazdy iny proces a proste "rast" ked to potrebuje, ale > verim ze inzinieri v Sun-e mali na to dobry dovod). ja bych doporucoval prostudovat toho: http://www.ibm.com/developerworks/java/library/j-nativememory-linux/ Koukam ze na linuxu je 3USER/1GB Kernel split. Na freebsd je to 2/2GB? Taky ma 64bit freebsd defaultne jen 32GB/proces. vsechny ostatni os jak je videt z tabulky v clanku maji vic. From dan at obluda.cz Mon Jun 15 21:28:54 2009 From: dan at obluda.cz (Dan Lukes) Date: Mon, 15 Jun 2009 21:28:54 +0200 Subject: Prestahovanie serveru za NAT In-Reply-To: <4A35FC14.5030200@matfyz.cz> References: <49F5AE65.10506@matfyz.cz> <49F5B9F3.7050901@obluda.cz> <49F5F90A.6000606@matfyz.cz> <49F7E737.2040407@obluda.cz> <4A3550F1.6070704@matfyz.cz> <4A35E79C.8010007@obluda.cz> <4A35FC14.5030200@matfyz.cz> Message-ID: <4A36A0F6.7030305@obluda.cz> Marian Cerny wrote: >>>>> Ako sa takyto GIF tunel vytvori? Mozes ma odkazat na nejaku vhodnu >>>>> dokumentaciu? >> >>> Samozrejme, ze "man gif" bolo prve, co som skusil. Lenze ta mi velmi >>> vhodna neprisla, preto som sa pytal na nieco ine. Ale nasiel som >>> nieco cez google, napriklad aj cast "VPN over IPsec" z handbooku: >>> http://www.freebsd.org/doc/en/books/handbook/ipsec.html#AEN20923 . >> >> Zastavam teorii, ze (nejmene na FreeBSD) je nejlepsi metoda >> implementace IPSEC tunelu tak, ze to nejprve zazenes do GIF tunelu > Teraz si uplne nie som uplne isty, k comu patri tato tvoja odpoved. Ja > som pouzil iba ten GIF tunel bez IPsec. A, tak to jsem te spatne pochopil. Kdyz's psal "Lenze ta mi velmi vhodna neprisla" vyrozumel jsem (mylne), ze to se to tykalo cele metody a ne jen manualove stranky a tys to vyresil jinak (pripadalo mi, ze IPSEC bez GIFu). Takze nepochopeni z me strany. Dan From jaroslav.votruba at keytec.cz Tue Jun 16 09:04:43 2009 From: jaroslav.votruba at keytec.cz (Jaroslav Votruba) Date: Tue, 16 Jun 2009 09:04:43 +0200 Subject: OT- zjistovani kodove stranky Message-ID: <4A37440B.2050208@keytec.cz> pred nejakym casem jsem shanel nastroj na detekci kodove stranky. Tvrdil jsem, ze wokenni pspad to dovede. Na tomto linku na rootu je zdrojak jak to dela. http://i.iinfo.cz/files/root/91/autodetekce-cp.pas davam to sem jen pro informaci, nic jineho tim nesleduji. Jen jsem na to nahodou narazil a vzpomel jsem si na svuj tehdejsi dotaz. Jarda From kolar.radim at gmail.com Tue Jun 16 09:39:59 2009 From: kolar.radim at gmail.com (Radim Kolar) Date: Tue, 16 Jun 2009 09:39:59 +0200 Subject: soft na testovani portu Message-ID: <707e14750906160039o12f55423nd20c80c354778c08@mail.gmail.com> Z jakeho softu lezou tyhlety reporty? http://people.freebsd.org/~amdmi3/fspclient-0.92.0.log ja znam jen porttools kde se udela "port test" From vilem.kebrt at gmail.com Tue Jun 16 09:45:41 2009 From: vilem.kebrt at gmail.com (Vilem Kebrt) Date: Tue, 16 Jun 2009 09:45:41 +0200 Subject: soft na testovani portu In-Reply-To: <707e14750906160039o12f55423nd20c80c354778c08@mail.gmail.com> References: <707e14750906160039o12f55423nd20c80c354778c08@mail.gmail.com> Message-ID: <4A374DA5.8010906@gmail.com> Radim Kolar napsal(a): > Z jakeho softu lezou tyhlety reporty? > > http://people.freebsd.org/~amdmi3/fspclient-0.92.0.log > > ja znam jen porttools kde se udela "port test" > -- > FreeBSD mailing list (users-l at freebsd.cz) > http://www.freebsd.cz/listserv/listinfo/users-l > Riskuju ze budu vypadat jako uplnej blbec ale na prvni pohled mi to prijde jako presmerovanej stdout pri kompilaci do filu ? vilem From cizek.milan at seznam.cz Tue Jun 16 14:13:10 2009 From: cizek.milan at seznam.cz (=?us-ascii?Q?Cizek=2EMilan?=) Date: Tue, 16 Jun 2009 14:13:10 +0200 (CEST) Subject: =?us-ascii?Q?postfix=20spamfilter=20a=20shell=20prikaz=20trap?= Message-ID: <2603.4690-28775-1740190195-1245154390@seznam.cz> Ahoj, pouzivam postfix, virtualni uzivatele a spamassassin. Chci mazat/presouvat zpravy oznacene jako spam do .Junk slozky kazdeho mailboxu. Nasel jsem si linuxovy "shell-based filter script" (http://www.it-crowd.lt/?q=spamchk) a naimplementoval ho do sveho postfixu, funguje (mazani). 1) Nejprve bych se rad zeptal na vlastni cast skriptu: trap "rm -f /var/tempfs/out.$$" 0 1 2 3 15 chapu tak, ze pokud skript dostane nektery ze signalu 0 1 2..., provede prikaz (smaze soubor). V mem systemu ale "trap" neexistuje, je nejaka nahrada? 2) Je mozne spamy presouvat do junk slozek jednotlivym uzivatelum? Nejaka predana promenna s adresarem nebo tak neco? Potreboval jsem rychle reseni, tak jsem to vyresil skriptem. Vim, ze existuje maidrop/procmail, ktery tohle resi. Spamy zatim mazu, takze pokud by muj pozadavek nebyl resitelny na urovni skriptu, muzu se dal zabyvat studiem nejakeho toho "kanonu na vrabce" typu maildrop. :-) Diky Milan From vilem.kebrt at gmail.com Tue Jun 16 14:16:39 2009 From: vilem.kebrt at gmail.com (Vilem Kebrt) Date: Tue, 16 Jun 2009 14:16:39 +0200 Subject: postfix spamfilter a shell prikaz trap In-Reply-To: <2603.4690-28775-1740190195-1245154390@seznam.cz> References: <2603.4690-28775-1740190195-1245154390@seznam.cz> Message-ID: <4A378D27.2000504@gmail.com> Cizek.Milan napsal(a): > Ahoj, > pouzivam postfix, virtualni uzivatele a spamassassin. Chci mazat/presouvat zpravy oznacene jako spam do .Junk slozky kazdeho mailboxu. Nasel jsem si linuxovy "shell-based filter script" (http://www.it-crowd.lt/?q=spamchk) a naimplementoval ho do sveho postfixu, funguje (mazani). > > 1) Nejprve bych se rad zeptal na vlastni cast skriptu: > trap "rm -f /var/tempfs/out.$$" 0 1 2 3 15 > > chapu tak, ze pokud skript dostane nektery ze signalu 0 1 2..., provede prikaz (smaze soubor). V mem systemu ale "trap" neexistuje, je nejaka nahrada? > > 2) Je mozne spamy presouvat do junk slozek jednotlivym uzivatelum? Nejaka predana promenna s adresarem nebo tak neco? > > Potreboval jsem rychle reseni, tak jsem to vyresil skriptem. Vim, ze existuje maidrop/procmail, ktery tohle resi. Spamy zatim mazu, takze pokud by muj pozadavek nebyl resitelny na urovni skriptu, muzu se dal zabyvat studiem nejakeho toho "kanonu na vrabce" typu maildrop. :-) Diky > > Milan > -- > FreeBSD mailing list (users-l at freebsd.cz) > http://www.freebsd.cz/listserv/listinfo/users-l > Ahoj, Nam na tohle docela slusne funguje kombinace postfix/amavis,dspam/maildrop/courier -> delal kolega. Jinak na svym serveru mam na mazani spamu a podobny kravoviny to nastaveny primo v amavisu, (konkretne amavisd-new) a staci to....nejaky ukladani spamu jsem vazne neresil. Ja tam mam kombinaci postfix/amavisd-new-spamassassin, clam/dovecot vilem From vilem.kebrt at gmail.com Tue Jun 16 14:31:28 2009 From: vilem.kebrt at gmail.com (Vilem Kebrt) Date: Tue, 16 Jun 2009 14:31:28 +0200 Subject: Postgres replikace? In-Reply-To: <4A339704.6010505@wilbury.sk> References: <4A321830.2090908@gmail.com> <4A3394E0.4070001@matfyz.cz> <4A339704.6010505@wilbury.sk> Message-ID: <4A3790A0.4010601@gmail.com> Juraj Lutter napsal(a): > Marian Cerny wrote: >> On 12.6.2009 12:03, Jozef Babjak wrote: >>> Vlastne mi nie je zname, ze by nejaka >>> open/free relacna databaza umoznovala master-to-master replikaciu. >>> IMHO je to ficura dostupna iba v komercnych tazkotonaznych databazach >>> typu Oracle ci DB2. >>> >> >> Mysql zvlada circular multi-master replication uz od verzie 3.23. > > Ale v akej kvalite... > Ahoj vsichni. Tak kvuli urcitejm vecem skutecne potrebujeme master-master replikaci. Jedina vec ktera se tvari aspon nejak pouzitelne je Bucardo, ovsem zde mam jeden problem a to markantni. Vsechny tutory ktery jsem kde nasel ukazujou jenom replikaci z jedny db do druhy na localhostu, to mi funguje toje v poho. Problem nastava kdyz kazda database je na jinem stroji. Pristupy a fsecko jsou ok, zdanlive fsecko funguje, v nastaveni jsem pouze pridal dbhost a bucardo ne a ne chodit. Nemuzete me nekdo nakopnout jak zjistit co se tomu nelibi ? ve frontach to normalne ma, pripojit se tim pristupem z konzole prvniho srv na druhej dokazu, pri insertu syncu (kdy to kontroluje funkcni podminky) to zadnou chybu neda, ale proste se nic nedeje. Uz jsem z toho zoufalej, jedina zmena proti "fungujicimu" schematu z howto je rozhozeni tech testovacich db na 2 stroje. Nejhorsi je ze ta potvora ani neposle nic do logu. Uz vazne nevim diky za nakopnuti vilem From cizek.milan at seznam.cz Tue Jun 16 14:32:58 2009 From: cizek.milan at seznam.cz (=?us-ascii?Q?Cizek=2EMilan?=) Date: Tue, 16 Jun 2009 14:32:58 +0200 (CEST) Subject: =?us-ascii?Q?Re=3A=20Re=3A=20postfix=20spamfilter=20a=20shell=20prikaz=20trap?= In-Reply-To: <4A378D27.2000504@gmail.com> Message-ID: <2581.4670-30543-1653360705-1245155578@seznam.cz> Ahoj, ted me napadlo, ze ja si vlastne muzu tomu svemu skriptu predat libovolne parametry uz v master.cf, napr. $recipient*. Z toho bych si pak mohl ve skriptu poskladat vyslednou cestu do junk. Strukturu mam /var/spool/virtual/domena.tld/user/. Pokud spravne tomu spravne rozumim, jit by to mohlo. Ano, spamy momentalne mazu a je mi to jedno. Ale jinak jsem to resil tak, ze jsem je pravidelne skriptem v cronu prehazoval z new do junk (vim, hrozne humpolacke reseni :-)). Spis jde o komfort, napr. maily se spam score>20 rovnou mazat, s nizsim skore nechavat v junk napr. 30 dnu. Milan ------------ P?vodn? zpr?va ------------ Od: Vilem Kebrt Nam na tohle docela slusne funguje kombinace postfix/amavis,dspam/maildrop/courier -> delal kolega. Jinak na svym serveru mam na mazani spamu a podobny kravoviny to nastaveny primo v amavisu, (konkretne amavisd-new) a staci to....nejaky ukladani spamu jsem vazne neresil. Ja tam mam kombinaci postfix/amavisd-new-spamassassin, clam/dovecot From vilem.kebrt at gmail.com Tue Jun 16 20:59:29 2009 From: vilem.kebrt at gmail.com (Vilem Kebrt) Date: Tue, 16 Jun 2009 20:59:29 +0200 Subject: Postgres replikace? - VYRESENO In-Reply-To: <4A339704.6010505@wilbury.sk> References: <4A321830.2090908@gmail.com> <4A3394E0.4070001@matfyz.cz> <4A339704.6010505@wilbury.sk> Message-ID: <4A37EB91.1050708@gmail.com> Ahoj vsem, Tak chyba je jednoznacne v bucardu jako takovem , nicmene se da obejit. Ono to totiz umira na hlasce: KID Warning! Child for "test_sync" was killed at line 3499: DBD::Pg::db do failed: ERROR: invalid value for parameter "tcp_keepalives_idle": 10 at /usr/local/lib/perl5/site_perl/5.8.9/Bucardo.pm line 3499. -> pro ty kdo by nevedeli jak to zjistit tak se da bucardo pustit s parametrem --debugstdout(nedokumentovany, nasel jsem ho nakonec na nejake konferenci). no a v databasi v konfiguracni tabuli je sice tcp_keepalives_idle ale hodnota je typu text...to je cely problem. pri tom jak je hodnota potom do DBD::Pg::db podana zustane jako text, tudiz ve skalarnim kontextu, takze se nepretipuje. Ale jelikoz defaultni tcp_keepalives hodnoty v pgsql jsou nulove tak tam staci dat do tabule na to pole 0 -> ta je stejna v obou kontextech. a voala...bucardo bucarduje :) dekuju vsem za trpelivost vilem Juraj Lutter napsal(a): > Marian Cerny wrote: >> On 12.6.2009 12:03, Jozef Babjak wrote: >>> Vlastne mi nie je zname, ze by nejaka >>> open/free relacna databaza umoznovala master-to-master replikaciu. >>> IMHO je to ficura dostupna iba v komercnych tazkotonaznych databazach >>> typu Oracle ci DB2. >>> >> >> Mysql zvlada circular multi-master replication uz od verzie 3.23. > > Ale v akej kvalite... > From jaroslav.votruba at keytec.cz Wed Jun 17 09:07:17 2009 From: jaroslav.votruba at keytec.cz (Jaroslav Votruba) Date: Wed, 17 Jun 2009 09:07:17 +0200 Subject: postfix spamfilter a shell prikaz trap In-Reply-To: <2603.4690-28775-1740190195-1245154390@seznam.cz> References: <2603.4690-28775-1740190195-1245154390@seznam.cz> Message-ID: <4A389625.8030700@keytec.cz> Cizek.Milan napsal(a): > Ahoj, > pouzivam postfix, virtualni uzivatele a spamassassin. Chci mazat/presouvat zpravy oznacene jako spam do .Junk slozky kazdeho mailboxu. Nasel jsem si linuxovy "shell-based filter script" (http://www.it-crowd.lt/?q=spamchk) a naimplementoval ho do sveho postfixu, funguje (mazani). > > premejslim o necem podobnym postu mam jak ty (postfix, virtualni uzivatele a spamassassin), ale me by stacilo ty spamy presmerovat na uzivatele "spam". Moje idea byla zatim takova, ze pomoci header_checks mapy bych nedefinoval /^Subject: .*SPAM* / REDIRECT spam at moje.domena zatim jsem to teda nezkousel, je to jen takova idea jeste nedotazena do konce. Nejsem si ani jistej, jestli ten header_checks je aplikovan jen na prvne prichozi maily, nebo i na maily vracene spamassassinem s tim by mi moh nekdo poradit From jan at dusatko.org Wed Jun 17 09:42:23 2009 From: jan at dusatko.org (=?windows-1250?B?RHWa4XRrbyBKYW4=?=) Date: Wed, 17 Jun 2009 09:42:23 +0200 Subject: postfix spamfilter a shell prikaz trap In-Reply-To: <4A389625.8030700@keytec.cz> References: <2603.4690-28775-1740190195-1245154390@seznam.cz> <4A389625.8030700@keytec.cz> Message-ID: <005801c9ef1f$27589070$7609b150$@org> > Cizek.Milan napsal(a): > > Ahoj, > > pouzivam postfix, virtualni uzivatele a spamassassin. Chci > mazat/presouvat zpravy oznacene jako spam do .Junk slozky kazdeho > mailboxu. Nasel jsem si linuxovy "shell-based filter script" > (http://www.it-crowd.lt/?q=spamchk) a naimplementoval ho do sveho > postfixu, funguje (mazani). > > > > > > premejslim o necem podobnym > postu mam jak ty (postfix, virtualni uzivatele a spamassassin), ale me > by stacilo ty spamy presmerovat na uzivatele "spam". Moje idea byla > zatim takova, ze pomoci header_checks mapy bych nedefinoval > > /^Subject: .*SPAM* / > REDIRECT spam at moje.domena > > zatim jsem to teda nezkousel, je to jen takova idea jeste nedotazena do > konce. Nejsem si ani jistej, jestli ten header_checks je aplikovan jen > na prvne prichozi maily, nebo i na maily vracene spamassassinem > > s tim by mi moh nekdo poradit Pouzivam Dovecot a Dovecot-Sieve(LDA), je zde moznost definovat vice parametru. Honza From vilem.kebrt at gmail.com Wed Jun 17 09:49:07 2009 From: vilem.kebrt at gmail.com (Vilem Kebrt) Date: Wed, 17 Jun 2009 09:49:07 +0200 Subject: postfix spamfilter a shell prikaz trap In-Reply-To: <005801c9ef1f$27589070$7609b150$@org> References: <2603.4690-28775-1740190195-1245154390@seznam.cz> <4A389625.8030700@keytec.cz> <005801c9ef1f$27589070$7609b150$@org> Message-ID: <4A389FF3.8020803@gmail.com> Opet se k tomu malinko vratim, proc lidi nepouzivate predavani z postfixu do amavisu ? je tam rovnou i bezproblemove napojeni antiviraku a ohledne toho presmerovani na uzivatele spam je ta moznost zahrnuta jiz v amavisu. vilem Du??tko Jan napsal(a): >> Cizek.Milan napsal(a): >>> Ahoj, >>> pouzivam postfix, virtualni uzivatele a spamassassin. Chci >> mazat/presouvat zpravy oznacene jako spam do .Junk slozky kazdeho >> mailboxu. Nasel jsem si linuxovy "shell-based filter script" >> (http://www.it-crowd.lt/?q=spamchk) a naimplementoval ho do sveho >> postfixu, funguje (mazani). >>> >> premejslim o necem podobnym >> postu mam jak ty (postfix, virtualni uzivatele a spamassassin), ale me >> by stacilo ty spamy presmerovat na uzivatele "spam". Moje idea byla >> zatim takova, ze pomoci header_checks mapy bych nedefinoval >> >> /^Subject: .*SPAM* / >> REDIRECT spam at moje.domena >> >> zatim jsem to teda nezkousel, je to jen takova idea jeste nedotazena do >> konce. Nejsem si ani jistej, jestli ten header_checks je aplikovan jen >> na prvne prichozi maily, nebo i na maily vracene spamassassinem >> >> s tim by mi moh nekdo poradit > Pouzivam Dovecot a Dovecot-Sieve(LDA), je zde moznost definovat vice > parametru. > > Honza > > -- > FreeBSD mailing list (users-l at freebsd.cz) > http://www.freebsd.cz/listserv/listinfo/users-l From veselsky at pcneos.cz Wed Jun 17 10:06:30 2009 From: veselsky at pcneos.cz (=?UTF-8?B?SmnFmcOtIFZlc2Vsc2vDvQ==?=) Date: Wed, 17 Jun 2009 10:06:30 +0200 Subject: postfix spamfilter a shell prikaz trap In-Reply-To: <4A389625.8030700@keytec.cz> References: <2603.4690-28775-1740190195-1245154390@seznam.cz> <4A389625.8030700@keytec.cz> Message-ID: <4A38A406.6030507@pcneos.cz> > premejslim o necem podobnym > postu mam jak ty (postfix, virtualni uzivatele a spamassassin), ale me > by stacilo ty spamy presmerovat na uzivatele "spam". Moje idea byla > zatim takova, ze pomoci header_checks mapy bych nedefinoval > > /^Subject: .*SPAM* / > REDIRECT spam at moje.domena > > zatim jsem to teda nezkousel, je to jen takova idea jeste nedotazena > do konce. Nejsem si ani jistej, jestli ten header_checks je aplikovan > jen na prvne prichozi maily, nebo i na maily vracene spamassassinem > > s tim by mi moh nekdo poradit No jestli muzu... nerikas jak dostanes zpravu do spamassassina. Je vice cest. Vsechny zpravy prochazi "cleanup"-em, ktery je soucasti postfixu a zde se provadi"header-checks" Problem je v tom, ze napriklad pokud spamassassin nakonfigurujes jako "milter" (smtpd_milter = local:/var/run/spamass-milter.sock), tak zprava nejdrive projde pres cleanup a potom teprve jde do spamassassina a tudis radek hlavicky "X-Spam-Status: ..." je pridan az po "cisteni" zpravy a tudis neprojde zminovanym header_checks. Dalsi moznost je poslat zpravu do spamassassina pomoci smtp a spamassassin ti to vrati na jiny port, kde samozrejme header_checks zpravy presmeruje jak pozadujes. Treti moznost je pouzit amavis nebo nejaky LDA, ktery ti dovoli definovat pravidla. Co se me tyce, tak mam variantu 1 (milter) a cekam az vyjde Postfix 2.7, kde Wietse doprogramoval direktivu "milter_header_checks", ktera jiz prochazi zpravy az po vsech definovanych milterech. Prikladam uryvek emailu od Wietse a timto mu velmi dekuji: ----- I have added header checks for Milter-generated mail headers. The feature is called "milter_header_checks". It is available from Postfix mirrors as postfix-2.7-20090607, and also available as an optional patch for Postfix 2.6. Wietse milter_header_checks (default: empty) Optional lookup tables for content inspection of message headers that are produced by Milter applications. See the header_checks(5) manual page available actions. Currently, PREPEND is not implemented. The following example sends all mail that is marked as SPAM to a spam handling machine. Note that matches are case-insensitive by default. /etc/postfix/main.cf: milter_header_checks = pcre:/etc/postfix/milter_header_checks /etc/postfix/milter_header_checks: /^X-SPAM-FLAG:\s+YES/ FILTER mysmtp:sanitizer.example.com:25 The milter_header_checks mechanism could also be used for whitelisting. For example it could be used to skip heavy content scans for DKIM- signed mail from known friendly domains. This feature is available in Postfix 2.7, and as an optional patch for Postfix 2.6. ----- Jirka __________ Informace od ESET NOD32 Antivirus, verze databaze 4160 (20090616) __________ Tuto zpravu proveril ESET NOD32 Antivirus. http://www.eset.cz From jaroslav.votruba at keytec.cz Wed Jun 17 10:07:33 2009 From: jaroslav.votruba at keytec.cz (Jaroslav Votruba) Date: Wed, 17 Jun 2009 10:07:33 +0200 Subject: postfix spamfilter a shell prikaz trap In-Reply-To: <4A389FF3.8020803@gmail.com> References: <2603.4690-28775-1740190195-1245154390@seznam.cz> <4A389625.8030700@keytec.cz> <005801c9ef1f$27589070$7609b150$@org> <4A389FF3.8020803@gmail.com> Message-ID: <4A38A445.7000508@keytec.cz> Vilem Kebrt napsal(a): > Opet se k tomu malinko vratim, proc lidi nepouzivate predavani z > postfixu do amavisu ? > je tam rovnou i bezproblemove napojeni antiviraku a ohledne toho > presmerovani na uzivatele spam je ta moznost zahrnuta jiz v amavisu. > vilem amavis mam, ale abych se priznal, nastavil jsem jej jednou a od te doby se na nej nepodival. V kterych mistech configu je tato moznost? jarda From vilem.kebrt at gmail.com Wed Jun 17 10:11:25 2009 From: vilem.kebrt at gmail.com (Vilem Kebrt) Date: Wed, 17 Jun 2009 10:11:25 +0200 Subject: postfix spamfilter a shell prikaz trap In-Reply-To: <4A38A406.6030507@pcneos.cz> References: <2603.4690-28775-1740190195-1245154390@seznam.cz> <4A389625.8030700@keytec.cz> <4A38A406.6030507@pcneos.cz> Message-ID: <4A38A52D.2020807@gmail.com> Ji?? Veselsk? napsal(a): >> premejslim o necem podobnym >> postu mam jak ty (postfix, virtualni uzivatele a spamassassin), ale me >> by stacilo ty spamy presmerovat na uzivatele "spam". Moje idea byla >> zatim takova, ze pomoci header_checks mapy bych nedefinoval >> >> /^Subject: .*SPAM* / >> REDIRECT spam at moje.domena >> >> zatim jsem to teda nezkousel, je to jen takova idea jeste nedotazena >> do konce. Nejsem si ani jistej, jestli ten header_checks je aplikovan >> jen na prvne prichozi maily, nebo i na maily vracene spamassassinem >> >> s tim by mi moh nekdo poradit > No jestli muzu... nerikas jak dostanes zpravu do spamassassina. > Je vice cest. > Vsechny zpravy prochazi "cleanup"-em, ktery je soucasti postfixu a zde > se provadi"header-checks" > Problem je v tom, ze napriklad pokud spamassassin nakonfigurujes jako > "milter" (smtpd_milter = local:/var/run/spamass-milter.sock), tak zprava > nejdrive projde pres cleanup a potom teprve jde do spamassassina a tudis > radek hlavicky "X-Spam-Status: ..." je pridan az po "cisteni" zpravy a > tudis neprojde zminovanym header_checks. > Dalsi moznost je poslat zpravu do spamassassina pomoci smtp a > spamassassin ti to vrati na jiny port, kde samozrejme header_checks > zpravy presmeruje jak pozadujes. Tak presne tuhle druhou moznost pouzivam, prijde mi to i jednodussi z hlediska pripadneho hledani problemu, jsou to oddelene procesy a v logu je hned videt jesli se to predalo nebo ne...a hlavne kdyz nastavim zahazovat viry tak dorucovaci procesy se tim uz vubec nezabivaji tema virama protoze zpravu zlikviduje hned amavis. > Treti moznost je pouzit amavis nebo nejaky LDA, ktery ti dovoli > definovat pravidla. > Tuhle treti moznost nejak nakombinoval na serveru kolega, ma tam predani z postfixu do amavisu, tam to projede antivirem a pres dspam a nasledne to vrati do maildropa...tam by mel prijit header check jesli se nepletu...moc sem to nerozebiral jak to ma udelany, nemel jsem na to cas zatim... > Co se me tyce, tak mam variantu 1 (milter) a cekam az vyjde Postfix 2.7, > kde Wietse doprogramoval direktivu "milter_header_checks", ktera jiz > prochazi zpravy az po vsech definovanych milterech. Prikladam uryvek > emailu od Wietse a timto mu velmi dekuji: Tak na tohle se tesim, to vypada vylozene rozumne. > ----- > I have added header checks for Milter-generated mail headers. > The feature is called "milter_header_checks". > > It is available from Postfix mirrors as postfix-2.7-20090607, and > also available as an optional patch for Postfix 2.6. > > Wietse > > milter_header_checks (default: empty) > > Optional lookup tables for content inspection of message headers that > are produced by Milter applications. See the header_checks(5) manual > page available actions. Currently, PREPEND is not implemented. > > The following example sends all mail that is marked as SPAM to a spam > handling machine. Note that matches are case-insensitive by default. > > /etc/postfix/main.cf: > milter_header_checks = pcre:/etc/postfix/milter_header_checks > > /etc/postfix/milter_header_checks: > /^X-SPAM-FLAG:\s+YES/ FILTER mysmtp:sanitizer.example.com:25 > > The milter_header_checks mechanism could also be used for whitelisting. > For example it could be used to skip heavy content scans for DKIM- > signed mail from known friendly domains. > > This feature is available in Postfix 2.7, and as an optional patch for > Postfix 2.6. > ----- > Jirka > > > > > __________ Informace od ESET NOD32 Antivirus, verze databaze 4160 > (20090616) __________ > > Tuto zpravu proveril ESET NOD32 Antivirus. > > http://www.eset.cz > > > -- > FreeBSD mailing list (users-l at freebsd.cz) > http://www.freebsd.cz/listserv/listinfo/users-l From vilem.kebrt at gmail.com Wed Jun 17 10:18:25 2009 From: vilem.kebrt at gmail.com (Vilem Kebrt) Date: Wed, 17 Jun 2009 10:18:25 +0200 Subject: postfix spamfilter a shell prikaz trap In-Reply-To: <4A38A445.7000508@keytec.cz> References: <2603.4690-28775-1740190195-1245154390@seznam.cz> <4A389625.8030700@keytec.cz> <005801c9ef1f$27589070$7609b150$@org> <4A389FF3.8020803@gmail.com> <4A38A445.7000508@keytec.cz> Message-ID: <4A38A6D1.5030300@gmail.com> Jaroslav Votruba napsal(a): > > > Vilem Kebrt napsal(a): >> Opet se k tomu malinko vratim, proc lidi nepouzivate predavani z >> postfixu do amavisu ? >> je tam rovnou i bezproblemove napojeni antiviraku a ohledne toho >> presmerovani na uzivatele spam je ta moznost zahrnuta jiz v amavisu. >> vilem > > amavis mam, ale abych se priznal, nastavil jsem jej jednou a od te doby > se na nej nepodival. V kterych mistech configu je tato moznost? > > jarda > > > ------------------------------------------------------------------------ > > -- > FreeBSD mailing list (users-l at freebsd.cz) > http://www.freebsd.cz/listserv/listinfo/users-l No ja to nasel v konfiguraku tady: spam_admin_maps => ["virusalert\@$mydomain"], antiviraky jsou jasny, jsou pod radkem @av_scanners = ( a to jsem jenom v amavisd.conf v /usr/local/etc, tech konfiguraku tam vidim vic, zrovna se v tom jdu hrabat (prechod z linuxoveho serveru na freebsd, drzte mi palce :) ). vilem From konf at krajcirovic.cz Wed Jun 17 14:06:25 2009 From: konf at krajcirovic.cz (michal krajcirovic) Date: Wed, 17 Jun 2009 14:06:25 +0200 Subject: pridani ip do ipfw Message-ID: <4A38DC41.6040606@krajcirovic.cz> Pekny den vsem, resim pomerne jednoduchy problem s pridanim ip do ipfw. Pridani celeho rozsahu ktere jsem delal doposud bylo bez problemu, ale potrebuji pridat jen IP do systemu ktery delal nekdo predemnou a nemohu prijit na to jak. 02600 0 0 pipe 5 ip from { 192.168.1.27 or 192.168.1.0/24{30,69-71,86,87} } to any via vlan4 02700 0 0 pipe 6 ip from any to { 192.168.1.27 or dst-ip 192.168.1.0/24{30,69-71,86,87} } via vlan4 a problem je asi uz zrejmy, potrebuji tam pridat dalsi ip, ale jen nekolik, opet z tohoto rozsahu. tedy napr. 88-90. Mozna jsem jen spatne googlil, ale nasel jsem vzdycky jen pridani celeho rozsahu a ne takhle konkretnich IP (v dalsich pipe se pridavaji jine kusy toho rozsahu). diky za kazdy tip. mk From konf at krajcirovic.cz Wed Jun 17 14:52:21 2009 From: konf at krajcirovic.cz (michal krajcirovic) Date: Wed, 17 Jun 2009 14:52:21 +0200 Subject: pridani ip do ipfw - vyreseno In-Reply-To: <4A38DC41.6040606@krajcirovic.cz> References: <4A38DC41.6040606@krajcirovic.cz> Message-ID: <4A38E705.4010102@krajcirovic.cz> diky rexxorovi za pomoc, nakonec stacilo v rc.firewall dopsat ten posledni rozsah a necpat to tam prikazem, jak jsem se snazil. m. michal krajcirovic napsal(a): > Pekny den vsem, > resim pomerne jednoduchy problem s pridanim ip do ipfw. > Pridani celeho rozsahu ktere jsem delal doposud bylo bez problemu, ale > potrebuji pridat jen IP do systemu ktery delal nekdo predemnou a > nemohu prijit na to jak. > > 02600 0 0 pipe 5 ip from { 192.168.1.27 or > 192.168.1.0/24{30,69-71,86,87} } to any via vlan4 > 02700 0 0 pipe 6 ip from any to { 192.168.1.27 or dst-ip > 192.168.1.0/24{30,69-71,86,87} } via vlan4 > > a problem je asi uz zrejmy, potrebuji tam pridat dalsi ip, ale jen > nekolik, opet z tohoto rozsahu. tedy napr. 88-90. > > Mozna jsem jen spatne googlil, ale nasel jsem vzdycky jen pridani > celeho rozsahu a ne takhle konkretnich IP (v dalsich pipe se pridavaji > jine kusy toho rozsahu). > > diky za kazdy tip. > > mk > -- > FreeBSD mailing list (users-l at freebsd.cz) > http://www.freebsd.cz/listserv/listinfo/users-l From danger at FreeBSD.org Wed Jun 17 22:02:57 2009 From: danger at FreeBSD.org (Daniel Gerzo) Date: Wed, 17 Jun 2009 22:02:57 +0200 Subject: soft na testovani portu In-Reply-To: <707e14750906160039o12f55423nd20c80c354778c08@mail.gmail.com> References: <707e14750906160039o12f55423nd20c80c354778c08@mail.gmail.com> Message-ID: <4A394BF1.8030601@FreeBSD.org> Radim Kolar wrote: > Z jakeho softu lezou tyhlety reporty? > > http://people.freebsd.org/~amdmi3/fspclient-0.92.0.log > > ja znam jen porttools kde se udela "port test" Port: tinderbox-3.2 Path: /usr/ports/ports-mgmt/tinderbox Info: Port build tinderbox system Maint: itetcu at FreeBSD.org WWW: http://tinderbox.marcuscom.com/ -- S pozdravom / Best regards Daniel Gerzo, FreeBSD committer From dan at obluda.cz Thu Jun 18 01:59:13 2009 From: dan at obluda.cz (Dan Lukes) Date: Thu, 18 Jun 2009 01:59:13 +0200 Subject: postfix spamfilter a shell prikaz trap In-Reply-To: <2603.4690-28775-1740190195-1245154390@seznam.cz> References: <2603.4690-28775-1740190195-1245154390@seznam.cz> Message-ID: <4A398351.5030905@obluda.cz> Cizek.Milan napsal/wrote, On 06/16/09 14:13: > trap "rm -f /var/tempfs/out.$$" 0 1 2 3 15 > > chapu tak, ze pokud skript dostane nektery ze signalu 0 1 2..., provede prikaz (smaze soubor). > V mem systemu ale "trap" neexistuje "trap" je interni prikaz sh Dost dobre nemuze neexistovat. Jedine, ze se pokousis script interpretovat nejakym nevhodnym shellem, ktery jsi ale musel ty sam nevhodne vybrat a explicitne vyvolat (protoze pri "normalnim" spusteni je spravny interpreter zapsany ve scriptu a neni-li pak je interpreterem sh, ktery "trap" ma) Dan From jaroslav.votruba at keytec.cz Thu Jun 18 13:55:39 2009 From: jaroslav.votruba at keytec.cz (Jaroslav Votruba) Date: Thu, 18 Jun 2009 13:55:39 +0200 Subject: revokace klienta v ovpn Message-ID: <4A3A2B3B.3050208@keytec.cz> postupoval jsem podle navodu http://openvpn.net/index.php/open-source/documentation/howto.html proto?e jsem potreboval zabanovat jednoho byvaleho zamestnance. provedl jsem tyto kroky cd /usr/local/etc/openvpn source ./vars ./revoke-full ztraceny_klic Using configuration from /usr/local/etc/openvpn/openssl.cnf DEBUG[load_index]: unique_subject = "yes" Adding Entry with serial number 13 to DB for /C=CZ/ST=Czech/L=Ceske Budejovice/O=server.keytec.cz/CN=vesely-doma/emailAddress=spravce at domena.cz Revoking Certificate 13. Data Base Updated Using configuration from /usr/local/etc/openvpn/openssl.cnf DEBUG[load_index]: unique_subject = "yes" ztraceny_klic.crt: /C=CZ/ST=Czech/L=Ceske Budejovice/O=server.keytec.cz/CN=ztraceny_klic/emailAddress=spravce at domena.cz error 23 at 0 depth lookup:certificate revoked ee /usr/local/etc/openvpn vloyil radku crl-verify /usr/local/etc/openvpn/keys/crl.pem restartoval vpn zkusil jsem se prihlasit pod jinzm klientem a byl jsem odmitany (hlaska na klientu jako bych mel firewall, nebo nebezel server) v logu na serveru je ze nemuze cist soubor cannot read: /usr/local/etc/openvpn/keys/crl.pem: No such file or directory (errno=2) i presto, ze jsem mu dal ze zoufalstvi i prava 777 poradite? From freebsd at email.cz Thu Jun 18 15:06:28 2009 From: freebsd at email.cz (freebsd at email.cz) Date: Thu, 18 Jun 2009 15:06:28 +0200 (CEST) Subject: =?us-ascii?Q?FreeBSD=207=2E2=20s=20Virtulazice?= Message-ID: <1009.1139-15058-322484411-1245330388@email.cz> Ahoj, po byvalem spravci serveru jsem zdedil server HP. Na serveru byl nainstalovany M$ Server2003 Stand. V soucasne dobe je server nevyuzity. Rozhodl jsem se ze server preinstaluji na FreeBSD. Budouci vyuziti serveru sdileni souboru v siti Windows - Samba server, pozdeji mail server postfix se spamfiltrem, web server Apache2 s php a DNS. V siti mam cca 30klientu s XPeckama. HW server: CPU 2x Intel Xeon 2.24GHz, RAM 1GB, HDD 4x146.8GB Ultra320SCSI hw raid smard arrya 641. Bude vykon serveru dostatecny na popisovane sluzby(Samba,DNS, mail a web)? Rad bych vyzkousel virtualizaci na serveru, kvuli optimalizaci vyuziti HW serveru. Kde s virtualizaci mam zacit na FreeBSD? Jails je virtualizace nebo jen chroot prostredi v FreeBSD? Jake mate zkusenosti s virtualizaci na serveru? Predem dekuji za prinosne reakce. :-) Jirka From jan at dusatko.org Thu Jun 18 15:18:57 2009 From: jan at dusatko.org (=?windows-1250?B?RHWa4XRrbyBKYW4=?=) Date: Thu, 18 Jun 2009 15:18:57 +0200 Subject: FreeBSD 7.2 s Virtulazice In-Reply-To: <1009.1139-15058-322484411-1245330388@email.cz> References: <1009.1139-15058-322484411-1245330388@email.cz> Message-ID: <019601c9f017$562e51c0$028af540$@org> > Ahoj, > po byvalem spravci serveru jsem zdedil server HP. Na serveru byl > nainstalovany M$ Server2003 Stand. V soucasne dobe je server nevyuzity. > Rozhodl jsem se ze server preinstaluji na FreeBSD. Budouci vyuziti > serveru sdileni souboru v siti Windows - Samba server, pozdeji mail > server postfix se spamfiltrem, web server Apache2 s php a DNS. V siti > mam cca 30klientu s XPeckama. > > HW server: CPU 2x Intel Xeon 2.24GHz, RAM 1GB, HDD 4x146.8GB > Ultra320SCSI hw raid smard arrya 641. > > Bude vykon serveru dostatecny na popisovane sluzby(Samba,DNS, mail a > web)? > > Rad bych vyzkousel virtualizaci na serveru, kvuli optimalizaci vyuziti > HW serveru. Kde s virtualizaci mam zacit na FreeBSD? Jails je > virtualizace nebo jen chroot prostredi v FreeBSD? Jake mate zkusenosti > s virtualizaci na serveru? > > Predem dekuji za prinosne reakce. :-) > > Jirka Po strance HW je server vice jak dostatecny, otazkou je pouze pocet uzivatelu. Co se tyka pristupu k datum, uzke m?sto bude rychlost pristupu k diskum (patrne RAID 5, nezapomen na write penalty), na cistem vypocetnim vykonu se podepise Perl a spamfiltry. Hardware je podporovany, platforma i386 ma dokonce podporu pro spravu. Honza From jan at dusatko.org Thu Jun 18 15:21:59 2009 From: jan at dusatko.org (=?windows-1250?B?RHWa4XRrbyBKYW4=?=) Date: Thu, 18 Jun 2009 15:21:59 +0200 Subject: revokace klienta v ovpn In-Reply-To: <4A3A2B3B.3050208@keytec.cz> References: <4A3A2B3B.3050208@keytec.cz> Message-ID: <019901c9f017$c2b02e90$48108bb0$@org> > postupoval jsem podle navodu > http://openvpn.net/index.php/open-source/documentation/howto.html > > proto?e jsem potreboval zabanovat jednoho byvaleho zamestnance. > > provedl jsem tyto kroky > cd /usr/local/etc/openvpn > source ./vars > ./revoke-full ztraceny_klic > > Using configuration from /usr/local/etc/openvpn/openssl.cnf > DEBUG[load_index]: unique_subject = "yes" > Adding Entry with serial number 13 to DB for /C=CZ/ST=Czech/L=Ceske > Budejovice/O=server.keytec.cz/CN=vesely- > doma/emailAddress=spravce at domena.cz > Revoking Certificate 13. > Data Base Updated > Using configuration from /usr/local/etc/openvpn/openssl.cnf > DEBUG[load_index]: unique_subject = "yes" > ztraceny_klic.crt: /C=CZ/ST=Czech/L=Ceske > Budejovice/O=server.keytec.cz/CN=ztraceny_klic/emailAddress=spravce at dom > ena.cz > error 23 at 0 depth lookup:certificate revoked > > ee /usr/local/etc/openvpn > vloyil radku > crl-verify /usr/local/etc/openvpn/keys/crl.pem > > restartoval vpn > > zkusil jsem se prihlasit pod jinzm klientem a byl jsem odmitany (hlaska > na klientu jako bych mel firewall, nebo nebezel server) > > v logu na serveru je ze nemuze cist soubor cannot read: > /usr/local/etc/openvpn/keys/crl.pem: No such file or directory > (errno=2) i presto, ze jsem mu dal ze zoufalstvi i prava 777 > > poradite? > openssl ca -revoke user.pem -keyfile cekey.pem -cert cacert.pem From kolar.radim at gmail.com Thu Jun 18 15:28:59 2009 From: kolar.radim at gmail.com (Radim Kolar) Date: Thu, 18 Jun 2009 15:28:59 +0200 Subject: FreeBSD 7.2 s Virtulazice In-Reply-To: <1009.1139-15058-322484411-1245330388@email.cz> References: <1009.1139-15058-322484411-1245330388@email.cz> Message-ID: <707e14750906180628u666bec2dy354185f6d2265a8a@mail.gmail.com> > Bude vykon serveru dostatecny na popisovane sluzby(Samba,DNS, mail a web)? Chce to vic RAMky. Pri dnesnich DDR2 cen?ch tam nacpete maximum co ta deska um?. > Jails je virtualizace nebo jen chroot prostredi v FreeBSD? jaily jsou virtualizaci vicemene na urovni solaris zones s tim rozdilem ze nejde omezovat pamet a io pro jednotlive virtualni stroje, takze je to jen pro trusted users. Pouziva se na to nejvice soft ezjail. Jake mate zkusenosti s virtualizaci na serveru? pouzivame jaily i vmware esx a verdikt je ze s vmware je mnohem mene administrativn?ch starosti. Pokud jsou financni prostredky na vmware, pouzival bych vmware. From kolar.radim at gmail.com Thu Jun 18 15:32:16 2009 From: kolar.radim at gmail.com (Radim Kolar) Date: Thu, 18 Jun 2009 15:32:16 +0200 Subject: FreeBSD 7.2 s Virtulazice In-Reply-To: <019601c9f017$562e51c0$028af540$@org> References: <1009.1139-15058-322484411-1245330388@email.cz> <019601c9f017$562e51c0$028af540$@org> Message-ID: <707e14750906180632l1fd71ffavaf2a0052cecf1253@mail.gmail.com> > na cistem vypocetnim vykonu se podepise Perl jaka perl aplikace se bezne pouziva na webserverech co dela nejake narocnejsi vypocty? nenapada mne zadna krome awstats. AWstats je pomale, nez sezere 10GB weblogu, to si clovek par hodin pocka. From jan at dusatko.org Thu Jun 18 17:14:55 2009 From: jan at dusatko.org (=?windows-1250?B?RHWa4XRrbyBKYW4=?=) Date: Thu, 18 Jun 2009 17:14:55 +0200 Subject: FreeBSD 7.2 s Virtulazice In-Reply-To: <707e14750906180632l1fd71ffavaf2a0052cecf1253@mail.gmail.com> References: <1009.1139-15058-322484411-1245330388@email.cz> <019601c9f017$562e51c0$028af540$@org> <707e14750906180632l1fd71ffavaf2a0052cecf1253@mail.gmail.com> Message-ID: <019c01c9f027$899c9160$9cd5b420$@org> > > na cistem vypocetnim vykonu se podepise Perl > jaka perl aplikace se bezne pouziva na webserverech co dela nejake > narocnejsi vypocty? nenapada mne zadna krome awstats. AWstats je > pomale, nez sezere 10GB weblogu, to si clovek par hodin pocka. Perl aplikacemi jsem myslel antispamove filtry. Honza From jry2000 at seznam.cz Thu Jun 18 14:36:39 2009 From: jry2000 at seznam.cz (Jerry) Date: Thu, 18 Jun 2009 14:36:39 +0200 (CEST) Subject: =?us-ascii?Q?Re=3A=20revokace=20klienta=20v=20ovpn?= In-Reply-To: <4A3A2B3B.3050208@keytec.cz> Message-ID: <6273.8464-8410-959525670-1245328599@seznam.cz> Hoj, nejsem sice kovany ve FreeBSD, ale jinde ma OpenVPN ma prikaz make-crl, ktery vytvori crl.pem na ktery by ses mel v konfiguraci odvolavat. Jeste zkus zkontrolovat, jestli adresar /usr/local/etc/openvpn/keys nema prava pro cteni pouze pro ownera (0700). Zdravim Jerry < ------------ P?vodn? zpr?va ------------ < Od: Jaroslav Votruba < P?edm?t: revokace klienta v ovpn < Datum: 18.6.2009 14:01:14 < ---------------------------------------- < postupoval jsem podle navodu < http://openvpn.net/index.php/open-source/documentation/howto.html < < proto?e jsem potreboval zabanovat jednoho byvaleho zamestnance. < < provedl jsem tyto kroky < cd /usr/local/etc/openvpn < source ./vars < ./revoke-full ztraceny_klic < < Using configuration from /usr/local/etc/openvpn/openssl.cnf < DEBUG[load_index]: unique_subject = "yes" < Adding Entry with serial number 13 to DB for /C=CZ/ST=Czech/L=Ceske < Budejovice/O=server.keytec.cz/CN=vesely-doma/emailAddress=spravce at domena.cz < Revoking Certificate 13. < Data Base Updated < Using configuration from /usr/local/etc/openvpn/openssl.cnf < DEBUG[load_index]: unique_subject = "yes" < ztraceny_klic.crt: /C=CZ/ST=Czech/L=Ceske < Budejovice/O=server.keytec.cz/CN=ztraceny_klic/emailAddress=spravce at domena.cz < error 23 at 0 depth lookup:certificate revoked < < ee /usr/local/etc/openvpn < vloyil radku < crl-verify /usr/local/etc/openvpn/keys/crl.pem < < restartoval vpn < < zkusil jsem se prihlasit pod jinzm klientem a byl jsem odmitany (hlaska < na klientu jako bych mel firewall, nebo nebezel server) < < v logu na serveru je ze nemuze cist soubor < cannot read: /usr/local/etc/openvpn/keys/crl.pem: No such file or < directory (errno=2) < i presto, ze jsem mu dal ze zoufalstvi i prava 777 < < poradite? < < < < < < < From jozef.babjak at gmail.com Thu Jun 18 18:55:44 2009 From: jozef.babjak at gmail.com (Jozef Babjak) Date: Thu, 18 Jun 2009 18:55:44 +0200 Subject: FreeBSD 7.2 s Virtulazice In-Reply-To: <019601c9f017$562e51c0$028af540$@org> References: <1009.1139-15058-322484411-1245330388@email.cz> <019601c9f017$562e51c0$028af540$@org> Message-ID: > > HW server: CPU 2x Intel Xeon 2.24GHz, RAM 1GB, HDD 4x146.8GB > > Ultra320SCSI hw raid smard arrya 641. > > > > Bude vykon serveru dostatecny na popisovane sluzby(Samba,DNS, mail a > > web)? > Po strance HW je server vice jak dostatecny, otazkou je pouze pocet ^-- Ak su to Xeon-y s HT - co predpokladam ze su - odporucam HT vypnut, pokial testy pre Tvoju konkretnu zataz nepreukazu, ze HT je vyznamnym prinosom. Ako bolo zmienene, RAM je trochu v nepomere k ostatnym komponentom; na druhej strane je to sucast, ktora sa da doplnit relativne bezbolestne. J. From jozef.babjak at gmail.com Thu Jun 18 19:00:35 2009 From: jozef.babjak at gmail.com (Jozef Babjak) Date: Thu, 18 Jun 2009 19:00:35 +0200 Subject: FreeBSD 7.2 s Virtulazice In-Reply-To: <707e14750906180628u666bec2dy354185f6d2265a8a@mail.gmail.com> References: <1009.1139-15058-322484411-1245330388@email.cz> <707e14750906180628u666bec2dy354185f6d2265a8a@mail.gmail.com> Message-ID: > pouzivame jaily i vmware esx a verdikt je ze s vmware je mnohem mene > administrativn?ch starosti. Pokud jsou financni prostredky na vmware, > pouzival bych vmware. ^-- Vokol zuri hospodarska kriza! :-) Ak na pozadovane sluzby postacuju jaily, pouzil by som ich. Ruku na srdce, performance overhead "tazkotonaznych" virtualizacnych rieseni je podstatne vyssi ako je "overhead" jailov ci Solarisovych zon. J. From rtomanek at epark.cz Thu Jun 18 19:56:27 2009 From: rtomanek at epark.cz (=?iso-8859-2?Q?Radom=EDr_Tom=E1nek?=) Date: Thu, 18 Jun 2009 19:56:27 +0200 Subject: FreeBSD 7.2 s Virtulazice In-Reply-To: <1009.1139-15058-322484411-1245330388@email.cz> Message-ID: <200906181756.n5IHuQmN045523@dual.ms.mff.cuni.cz> Ahoj, Nechci vyvolat flame, ale mysl?m, si, ze pokud m?te koupen? leg?ln? W2003, je ?koda ho vyhodit. Osobn? bych ten server vyu?il tak, ?e bych na n?j dal Hyper-V, nebo pokud bude HW kompatibiln?, tak l?pe ESXi a potom si ve virtu?ln?ch stroj?ch d?lejte co chcete, ale jedn?m z virtu?l? bych nechal W2003, nech? d?laj? co um? - pro? tam cp?t sambu, kdy? m??ete m?t plnohodnotnou dom?nu? Jen t? pam?ti bych v?razn? p?idal....:o)) rat -----Original Message----- From: users-l-bounces at freebsd.cz [mailto:users-l-bounces at freebsd.cz] On Behalf Of freebsd at email.cz Sent: Thursday, June 18, 2009 3:06 PM To: users-l at freebsd.cz Subject: FreeBSD 7.2 s Virtulazice Ahoj, po byvalem spravci serveru jsem zdedil server HP. Na serveru byl nainstalovany M$ Server2003 Stand. V soucasne dobe je server nevyuzity. Rozhodl jsem se ze server preinstaluji na FreeBSD. Budouci vyuziti serveru sdileni souboru v siti Windows - Samba server, pozdeji mail server postfix se spamfiltrem, web server Apache2 s php a DNS. V siti mam cca 30klientu s XPeckama. HW server: CPU 2x Intel Xeon 2.24GHz, RAM 1GB, HDD 4x146.8GB Ultra320SCSI hw raid smard arrya 641. Bude vykon serveru dostatecny na popisovane sluzby(Samba,DNS, mail a web)? Rad bych vyzkousel virtualizaci na serveru, kvuli optimalizaci vyuziti HW serveru. Kde s virtualizaci mam zacit na FreeBSD? Jails je virtualizace nebo jen chroot prostredi v FreeBSD? Jake mate zkusenosti s virtualizaci na serveru? Predem dekuji za prinosne reakce. :-) Jirka -- FreeBSD mailing list (users-l at freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l From ondrej.pesta at idc.cz Fri Jun 19 08:26:59 2009 From: ondrej.pesta at idc.cz (Ondrej Pesta) Date: Fri, 19 Jun 2009 08:26:59 +0200 Subject: FreeBSD 7.2 s Virtulazice In-Reply-To: <200906181756.n5IHuQmN045523@dual.ms.mff.cuni.cz> References: <200906181756.n5IHuQmN045523@dual.ms.mff.cuni.cz> Message-ID: <4A3B2FB3.70800@idc.cz> Jen podotykam, ze ESXi je free, takze je to podle me nejlevnejsi, nejjednodussi a nejvykonnejsi cesta, jak zvirtualizovat jednu krabici. ------------------------------------ S pozdravem Ondrej Pesta Radom?r Tom?nek wrote: > Ahoj, > Nechci vyvolat flame, ale mysl?m, si, ze pokud m?te koupen? leg?ln? W2003, > je ?koda ho vyhodit. Osobn? bych ten server vyu?il tak, ?e bych na n?j dal > Hyper-V, nebo pokud bude HW kompatibiln?, tak l?pe ESXi a potom si ve > virtu?ln?ch stroj?ch d?lejte co chcete, ale jedn?m z virtu?l? bych nechal > W2003, nech? d?laj? co um? - pro? tam cp?t sambu, kdy? m??ete m?t > plnohodnotnou dom?nu? Jen t? pam?ti bych v?razn? p?idal....:o)) > > rat > > > > -----Original Message----- > From: users-l-bounces at freebsd.cz [mailto:users-l-bounces at freebsd.cz] On > Behalf Of freebsd at email.cz > Sent: Thursday, June 18, 2009 3:06 PM > To: users-l at freebsd.cz > Subject: FreeBSD 7.2 s Virtulazice > > Ahoj, > po byvalem spravci serveru jsem zdedil server HP. Na serveru byl > nainstalovany M$ Server2003 Stand. V soucasne dobe je server nevyuzity. > Rozhodl jsem se ze server preinstaluji na FreeBSD. Budouci vyuziti serveru > sdileni souboru v siti Windows - Samba server, pozdeji mail server postfix > se spamfiltrem, web server Apache2 s php a DNS. V siti mam cca 30klientu s > XPeckama. > > HW server: CPU 2x Intel Xeon 2.24GHz, RAM 1GB, HDD 4x146.8GB Ultra320SCSI hw > raid smard arrya 641. > > Bude vykon serveru dostatecny na popisovane sluzby(Samba,DNS, mail a web)? > > Rad bych vyzkousel virtualizaci na serveru, kvuli optimalizaci vyuziti HW > serveru. Kde s virtualizaci mam zacit na FreeBSD? Jails je virtualizace nebo > jen chroot prostredi v FreeBSD? Jake mate zkusenosti s virtualizaci na > serveru? > > Predem dekuji za prinosne reakce. :-) > > Jirka > -- > FreeBSD mailing list (users-l at freebsd.cz) > http://www.freebsd.cz/listserv/listinfo/users-l > > -- > FreeBSD mailing list (users-l at freebsd.cz) > http://www.freebsd.cz/listserv/listinfo/users-l > > From jf at rtfm.cz Fri Jun 19 09:54:30 2009 From: jf at rtfm.cz (Lubos Dolezal) Date: Fri, 19 Jun 2009 09:54:30 +0200 Subject: FreeBSD 7.2 s Virtulazice In-Reply-To: <200906181756.n5IHuQmN045523@dual.ms.mff.cuni.cz> References: <200906181756.n5IHuQmN045523@dual.ms.mff.cuni.cz> Message-ID: <4A3B4436.4040204@rtfm.cz> Zdravim, Radom?r Tom?nek napsal(a): > Nechci vyvolat flame, ale mysl?m, si, ze pokud m?te koupen? leg?ln? W2003, > je ?koda ho vyhodit. Osobn? bych ten server vyu?il tak, ?e bych na n?j dal > Hyper-V, nebo pokud bude HW kompatibiln?, tak l?pe ESXi a potom si ve > virtu?ln?ch stroj?ch d?lejte co chcete, ale jedn?m z virtu?l? bych nechal > W2003, nech? d?laj? co um? - pro? tam cp?t sambu, kdy? m??ete m?t > plnohodnotnou dom?nu? Jen t? pam?ti bych v?razn? p?idal....:o)) > > -----Original Message----- > HW server: CPU 2x Intel Xeon 2.24GHz, RAM 1GB, HDD 4x146.8GB Ultra320SCSI hw > raid smard arrya 641. V dotazu neni uveden typ toho HP serveru. Nicmene pokud se jedna o ML 350G3 viz.: http://mail.opensolaris.org/pipermail/ug-czosug/2009-March/001209.html Tak bych videl dva problemy. Prvnim je rozsireni pameti. PC2100 DDR ECC SDRAM se sice sehnat jeste daji, ale jsou pomerne drazsi (v porovnani s DDR2 v novejsi generaci serveru). Minimalni mnozstvi pameti je IMHO 2GB na FreeBSD s jaily a 4GB na ESXi (vychazim z toho, co na tom planujete bezet). Druhy problem je ten, ze Xeony nemaji 64bit rozsireni, takze by na tom mohl bezet teoreticky jen ESXi 3.5, nicmene server neni uveden ve VMware HCL (http://www.vmware.com/resources/compatibility/search.php), takze zrejme ani ten ne. Ja osobne vidim jak optimalni dat na to bud FreeBSD a jaily a nebo alternativne XEN (Dom0 CentOS, nebo Debian, DomU to same). l.d. From freebsd at email.cz Fri Jun 19 12:21:13 2009 From: freebsd at email.cz (freebsd at email.cz) Date: Fri, 19 Jun 2009 12:21:13 +0200 (CEST) Subject: =?us-ascii?Q?Re=3A=20FreeBSD=207=2E2=20s=20Virtulazice?= In-Reply-To: <4A3B4436.4040204@rtfm.cz> Message-ID: <1029.1161-22480-1925463838-1245406873@email.cz> Zdravim, > > Radom?r Tom?nek napsal(a): > > Nechci vyvolat flame, ale mysl?m, si, ze pokud m?te koupen? leg?ln? W2003, > > je ?koda ho vyhodit. Osobn? bych ten server vyu?il tak, ?e bych na n?j dal > > Hyper-V, nebo pokud bude HW kompatibiln?, tak l?pe ESXi a potom si ve > > virtu?ln?ch stroj?ch d?lejte co chcete, ale jedn?m z virtu?l? bych nechal > > W2003, nech? d?laj? co um? - pro? tam cp?t sambu, kdy? m??ete m?t > > plnohodnotnou dom?nu? Jen t? pam?ti bych v?razn? p?idal....:o)) > > > > -----Original Message----- > > HW server: CPU 2x Intel Xeon 2.24GHz, RAM 1GB, HDD 4x146.8GB Ultra320SCSI hw > > raid smard arrya 641. > > V dotazu neni uveden typ toho HP serveru. Nicmene pokud se jedna o ML 350G3 > viz.: Ano, jedna se o HP server ML 350G3. > > http://mail.opensolaris.org/pipermail/ug-czosug/2009-March/001209.html > > Tak bych videl dva problemy. Prvnim je rozsireni pameti. PC2100 DDR ECC SDRAM se > > sice sehnat jeste daji, ale jsou pomerne drazsi (v porovnani s DDR2 v novejsi > generaci serveru). Minimalni mnozstvi pameti je IMHO 2GB na FreeBSD s jaily a > 4GB na ESXi (vychazim z toho, co na tom planujete bezet). > > Druhy problem je ten, ze Xeony nemaji 64bit rozsireni, takze by na tom mohl > bezet teoreticky jen ESXi 3.5, nicmene server neni uveden ve VMware HCL > (http://www.vmware.com/resources/compatibility/search.php), takze zrejme ani ten > ne. > > Ja osobne vidim jak optimalni dat na to bud FreeBSD a jaily a nebo alternativne > > XEN (Dom0 CentOS, nebo Debian, DomU to same). > Situace se trosku zmenila. Nyni mam kdyzpozici dalsi zelezo. Jedna se o CPU Athlon64 X2 4400+, RAM 4GB, 2x HDD IDE 250GB. Nainstaloval jsem WMware ESXi 4.0, ve kterem by mohl bezet ve virtualnim hostu Win2003 server a dalsi vychatavky od Microsorotu. :-) Neznate free soft na spravu hostu ve wmwaru? Zbyle sluzby poberi na serveru HP s FreeBSD 7.2. Bohuzel nejsou penize na rozsireni pameti. :-( J. From david.pasek at gmail.com Fri Jun 19 13:27:01 2009 From: david.pasek at gmail.com (David Pasek) Date: Fri, 19 Jun 2009 13:27:01 +0200 Subject: FreeBSD 7.2 s Virtulazice In-Reply-To: <1029.1161-22480-1925463838-1245406873@email.cz> References: <4A3B4436.4040204@rtfm.cz> <1029.1161-22480-1925463838-1245406873@email.cz> Message-ID: <2ec8f53f0906190427k1cd021a4vb4030d2cc28ef242@mail.gmail.com> Ahoj, > Situace se trosku zmenila. Nyni mam kdyzpozici dalsi zelezo. Jedna se o CPU > Athlon64 X2 4400+, RAM 4GB, 2x HDD IDE 250GB. > Nainstaloval jsem WMware ESXi 4.0, ve kterem by mohl bezet ve virtualnim > hostu Win2003 server a dalsi vychatavky od Microsorotu. :-) > Neznate free soft na spravu hostu ve wmwaru? Co to znamena free soft na spravu hostu? Vzdyt VI Client je zadarmo a je to ten nejlepsi soft na spravu jednoho ESXi hosta. Je fakt, ze VI Client bezi pouze pod OS Windows, ale nic jineho podle me pro verzi zadarmo nesezenes, protoze API funkce, kteryma se ESX Free spravuje jsou omezeny pouze pro cteni a zapis (spousteni a konfigurace) funguje jen u licencovaneho ESX. Takze ESX Free lze spravovat jen a pouze z windowsove aplikace "VMware VI Client". Jinak nejlepsi pro skriptovane ovladani ESX hostu a cele virtualni infrastruktury je VMware VI Perl Toolkit - dnes prejmenovany na vSphere SDK for Perl (http://www.vmware.com/support/developer/viperltoolkit/), kterym lze udelat v podstate cokoliv, ale jak uz jsem zminil, tak nikoliv pro verzi zadarmo. Existuje jedna vyjimka a tou je ESX 3i Free Update 3, kde VMware jaksi opomnel zakazat write pristup pro API a tudiz lze VI Perl Toolkitem delat vse jako by to byl licencovany ESX host. Je to vsak spise bug nez feature, ale hodne lidi z VMware komunity to vyuziva a ani kvuli tomuto vyhodnemu bugu nedelaji upgrady na vyssi verze ;-) Jinak ESX3i/ESX4i neumoznuje ani web management, jelikoz je to embedded a snazi se to byt co nejmensi. Nic ze zde popisovaneho nerozchodis pod FreeBSD. Pro FreeBSD je management ESX hostu out-of-the-box, takze je to podle mne mimo ramec teto konference. David. From gabriel at maxpark.cz Sat Jun 20 23:24:44 2009 From: gabriel at maxpark.cz (Gabriel) Date: Sat, 20 Jun 2009 23:24:44 +0200 Subject: IBM ServeRAID-4M a Adaptec RAID 2420SA monitoring Message-ID: Zdravim vospolok, mam tieto dva radice v serveri (system FreeBSD 7.2-RELEASE, i386) a potrebujem monitorovat ich stav pre pripad havarie disku v jednom z poli. Pre Adaptec som skusal aaccli ale bohuzial nefunguje. Pre IBM zatial netusim. Googlovanie spominalo este nejaky raidutil, ale skusenoti zatial ziadne. Mate nejake napady ako monitorovat tieto dva radice, pripadne cim monitorujete svoje radice vy? Vopred vdaka za odpovede. Gabriel From freebsdcz2 at jozef.drahovsky.sk Sun Jun 21 09:08:38 2009 From: freebsdcz2 at jozef.drahovsky.sk (Jozef Drahovsky) Date: Sun, 21 Jun 2009 09:08:38 +0200 Subject: sendmail sasl a relay Message-ID: <4A3DDC76.5000009@jozef.drahovsky.sk> mam sendmail a cyrus-sasl ak pride neautorizovane spojenie tak ziadna zmena, ak pride autorizovane spojenie tak to zapise aj do hlavicky dosleho mailu (authenticated bits=0), ak zadam zly login/heslo tak spojenie je odmietnute. Sendmail vypisuje toto: 220 x1.example.com ESMTP Sendmail 8.14.3/8.14.3; Fri, 19 Jun 2009 20:08:29 +0200 (CEST) EHLO x2.example 250-.... pleased to meet you 250-ENHANCEDSTATUSCODES 250-PIPELINING 250-8BITMIME 250-SIZE 250-DSN 250-ETRN 250-AUTH GSSAPI DIGEST-MD5 CRAM-MD5 250-DELIVERBY 250 HELP Doteraz je vsetko ok ale .... Problem mam ten, ze neviem povedat sendmailu aby pre autrorizovanych uzivatelov robil RELAY bez obmedzenia. Momentalne pri RELAY nerobi sendmail rozdiel ci je alebo nie je spojenie autrizovane i ked v dokumentacii sa pise, ze autorizacia je aj pre tento ucel. Hladal som nejaku syntax do suboru access ap. ale nic som nenasiel. Vie niekto poradit? Jozef From jan at dusatko.org Sun Jun 21 09:28:31 2009 From: jan at dusatko.org (=?windows-1250?B?RHWa4XRrbyBKYW4=?=) Date: Sun, 21 Jun 2009 09:28:31 +0200 Subject: IBM ServeRAID-4M a Adaptec RAID 2420SA monitoring In-Reply-To: References: Message-ID: <024801c9f241$e13d8070$a3b88150$@org> > Zdravim vospolok, > > mam tieto dva radice v serveri (system FreeBSD 7.2-RELEASE, i386) a > potrebujem monitorovat ich stav pre pripad havarie disku v jednom z > poli. > > Pre Adaptec som skusal aaccli ale bohuzial nefunguje. > Pre IBM zatial netusim. > > Googlovanie spominalo este nejaky raidutil, ale skusenoti zatial > ziadne. > > Mate nejake napady ako monitorovat tieto dva radice, pripadne cim > monitorujete svoje radice vy? > > Vopred vdaka za odpovede. > > Gabriel Pouzivam: /sbin/camcontrol devlist Funguje to na vetsinu radicu. Pokud nahodou nefunguje, pak hledam konkretni nastroje. Honza From dan at obluda.cz Sun Jun 21 09:49:08 2009 From: dan at obluda.cz (Dan Lukes) Date: Sun, 21 Jun 2009 09:49:08 +0200 Subject: sendmail sasl a relay In-Reply-To: <4A3DDC76.5000009@jozef.drahovsky.sk> References: <4A3DDC76.5000009@jozef.drahovsky.sk> Message-ID: <4A3DE5F4.3070907@obluda.cz> Jozef Drahovsky wrote: > Problem mam ten, ze neviem povedat sendmailu aby pre autrorizovanych > uzivatelov robil RELAY bez obmedzenia. http://www.sendmail.org/~ca/email/auth.html Sekce "Operation" Dan From freebsdcz2 at jozef.drahovsky.sk Sun Jun 21 11:22:26 2009 From: freebsdcz2 at jozef.drahovsky.sk (Jozef Drahovsky) Date: Sun, 21 Jun 2009 11:22:26 +0200 Subject: sendmail sasl a relay In-Reply-To: <4A3DE5F4.3070907@obluda.cz> References: <4A3DDC76.5000009@jozef.drahovsky.sk> <4A3DE5F4.3070907@obluda.cz> Message-ID: <4A3DFBD2.9090909@jozef.drahovsky.sk> Ale ved ano, bez toho by nefungivala autentifikacia mam tam konkretne toto: TRUST_AUTH_MECH(`GSSAPI DIGEST-MD5 CRAM-MD5 LOGIN')dnl define(`confAUTH_MECHANISMS', `GSSAPI DIGEST-MD5 CRAM-MD5 LOGIN')dnl ale na dovoleneie RELAY to realne nestaci Jozef Dan Lukes wrote / nap?sal(a): > Jozef Drahovsky wrote: >> Problem mam ten, ze neviem povedat sendmailu aby pre autrorizovanych >> uzivatelov robil RELAY bez obmedzenia. > > http://www.sendmail.org/~ca/email/auth.html > > Sekce "Operation" > > Dan > > -- > FreeBSD mailing list (users-l at freebsd.cz) > http://www.freebsd.cz/listserv/listinfo/users-l > > . > From gabriel at maxpark.cz Sun Jun 21 11:26:36 2009 From: gabriel at maxpark.cz (Gabriel) Date: Sun, 21 Jun 2009 11:26:36 +0200 Subject: IBM ServeRAID-4M a Adaptec RAID 2420SA monitoring In-Reply-To: <024801c9f241$e13d8070$a3b88150$@org> References: <024801c9f241$e13d8070$a3b88150$@org> Message-ID: > Pouzivam: > /sbin/camcontrol devlist > > Funguje to na vetsinu radicu. Pokud nahodou nefunguje, pak hledam > konkretni > nastroje. > > Honza Tvoja moznost v mojom pripade nefunguje. Pre Adaptec som nasiel ports/sysutils/arcconf a funguje dobre. Pre IBM zatial netusim. Gabriel From dan at obluda.cz Sun Jun 21 12:01:59 2009 From: dan at obluda.cz (Dan Lukes) Date: Sun, 21 Jun 2009 12:01:59 +0200 Subject: sendmail sasl a relay In-Reply-To: <4A3DFBD2.9090909@jozef.drahovsky.sk> References: <4A3DDC76.5000009@jozef.drahovsky.sk> <4A3DE5F4.3070907@obluda.cz> <4A3DFBD2.9090909@jozef.drahovsky.sk> Message-ID: <4A3E0517.3020608@obluda.cz> Jozef Drahovsky wrote: > Ale ved ano, bez toho by nefungivala autentifikacia > mam tam konkretne toto: > > TRUST_AUTH_MECH(`GSSAPI DIGEST-MD5 CRAM-MD5 LOGIN')dnl > define(`confAUTH_MECHANISMS', `GSSAPI DIGEST-MD5 CRAM-MD5 LOGIN')dnl > > ale na dovoleneie RELAY to realne nestaci U me ano. Celou logiku vyhodnocovani provadi ruleset Rcpt_ok nez se dojde na zkoumani, jestli je uzivatel autentizovan "povolenym" mechanismem je tam pred tim nekolik dalsich testu (treba ReplayTLS nebo Local_Relay_Auth a v zavislosti na presne konfiguraci tam nejspis mohou byt i dalsi) Budes muset zjistit, co to u tebe zarizne. Ladeni sednamiloveho .cf neni ta strasne, jak to na prvni pohled vypada - v tom rulesetu je cela rada mist, kde vyhodnocovani konci neuspechem a chybovou zpravou, ktera se preda klientovi. Tudiz vidis, jak zaridit, abysis "vypsal zpravu". Kdyz si na vhodna mista das vlastni chybove zpravy, presne poznas kam ve vyhodnocovani dojde a kam uz ne. A navic si v takove chybove zprave muzes vypisovat i obsahy promennych ... Alternativne si nastartuj "sendmail -bt"a zavolej si ten Rcpt_ok ruleset sam - akoprat pred tim musis spravne nastavit vsechny promenne (treba zrovna ty, do kterych se normalne uklada informace o probehle autentizaci). Dan From dobes at tesnet.cz Sun Jun 21 15:22:17 2009 From: dobes at tesnet.cz (Michal Dobes) Date: Sun, 21 Jun 2009 15:22:17 +0200 Subject: sendmail sasl a relay In-Reply-To: <4A3DFBD2.9090909@jozef.drahovsky.sk> References: <4A3DDC76.5000009@jozef.drahovsky.sk> <4A3DE5F4.3070907@obluda.cz> <4A3DFBD2.9090909@jozef.drahovsky.sk> Message-ID: <4A3E3409.10106@tesnet.cz> Jozef Drahovsky napsal(a): > Ale ved ano, bez toho by nefungivala autentifikacia > mam tam konkretne toto: > > TRUST_AUTH_MECH(`GSSAPI DIGEST-MD5 CRAM-MD5 LOGIN')dnl > define(`confAUTH_MECHANISMS', `GSSAPI DIGEST-MD5 CRAM-MD5 LOGIN')dnl > > ale na dovoleneie RELAY to realne nestaci Je?t? je t?eba define(`confAUTH_OPTIONS', `A p') Jedno to p?smenko nastavuje, ?e ov??ov?n? vy?aduje SSL/TLS spojen? a druh?, ?e kdo se ov??? m? povolen relay. Co je co se mi u? nechce hledat. :-) M. From pm-conf at kostax.cz Mon Jun 22 08:39:51 2009 From: pm-conf at kostax.cz (Petr Macek) Date: Mon, 22 Jun 2009 08:39:51 +0200 Subject: sendmail sasl a relay In-Reply-To: <4A3DFBD2.9090909@jozef.drahovsky.sk> References: <4A3DDC76.5000009@jozef.drahovsky.sk> <4A3DE5F4.3070907@obluda.cz> <4A3DFBD2.9090909@jozef.drahovsky.sk> Message-ID: <4A3F2737.9000500@kostax.cz> Jozef Drahovsky napsal(a): > Ale ved ano, bez toho by nefungivala autentifikacia > mam tam konkretne toto: > > TRUST_AUTH_MECH(`GSSAPI DIGEST-MD5 CRAM-MD5 LOGIN')dnl > define(`confAUTH_MECHANISMS', `GSSAPI DIGEST-MD5 CRAM-MD5 LOGIN')dnl > > ale na dovoleneie RELAY to realne nestaci ja to taky pouzivam takhle a problem nemam. Nechces poslat cely mc soubor? PM -- # --------------- # Petr Macek # pm at kostax.cz # icq: 87323239 # www.kostax.cz From jan at dusatko.org Fri Jun 26 22:59:07 2009 From: jan at dusatko.org (=?windows-1250?B?RHWa4XRrbyBKYW4=?=) Date: Fri, 26 Jun 2009 22:59:07 +0200 Subject: Nestandardni filtrovani Message-ID: <006301c9f6a0$f277fd80$d767f880$@org> Zdravim vespolek, shanim nekoho, kdo umi dobre pf a zaroven zna do detailu uzavirani spojeni nad TCP. Duvodem je situace, kdy mne pravidelne utoky robotu obtezuji a chci prenest nevyhody komunikace na jejich stranu. Protoze zpravidla neutoci na jednu sluzbu, je mozne je identifikovat (Spam, SSH, FTP, web ....) ruznymi sluzbami, prohnat scripty a pripadne si tyto charakteristiky overit nejakou identifikaci. Idea je nasledujici: Do tabulky detekovanych utocich pocitacu budu na predem zvoleny cas davat zvolenou adresu, pricemz par adres musi byt na whitelistu. V prubehu tohoto casu chci umoznit nechat na strane utocnika otevrene spojeni, na sve strane ho uzavrit. Tim budu zatezovat pouze stranu utocnika. Cim vic bude utocit, tim vetsi zatez ponese. Mam tu nekolik problemu: Patrne zakladem konfigurace by byly nasledujici radky v pf.conf table persist file "/var/db/botnet-detected" set limit { frags 4000, states 8000, src-nodes 1000 } block drop out quick proto tcp from any to flags C/CF block drop out quick proto tcp from any to flags F/CF block drop out quick proto tcp from any to flags F/FA block drop out quick proto tcp from any to flags R/ block drop in quick proto udp from 1) Bohuzel, pokud dobre uvazuji, OS mi nedovoli provest CLOSE/FIN spojeni na sve strane, dokud neprijde ACK. U RST by to melo byt mozne bez ACK. Je vubec mozne pomoci pf nejak vnutit uzavreni spojeni ? 2) Pokud to spravne chapu (a pamatuji si to), dochazi k uzavreni spojeni v nasledujicich pripadech: - poslu RST - Poslu CLOSE/FIN a cekam an ACK, FIN+ACK nebo FIN - Poslu FIN/ACK a cekam na CLOSE/FIN 3) Jak vubec napsat pravidlo, ktere necha projit prvni ACK nebo SYN/ACK po CONNECT a nasledne provede RST/CLOSE/FIN ? Omezeni upozorneni strany utocnika by teoreticky byly mozne pomoci uvedenych filtru. 5) Jsou tyto pravidla vubec napsana spravne ? Jak spravne napsat masku u flags ? Diky za odpoved Honza From freebsdml at quasan.com Sun Jun 28 20:26:13 2009 From: freebsdml at quasan.com (freebsdml at quasan.com) Date: Sun, 28 Jun 2009 20:26:13 +0200 Subject: Prace s porty Message-ID: <4A47B5C5.5080508@quasan.com> Zdar ve spolek, potreboval bych helpnout-nakopnout se systemem portu. Nainstaloval jsem si gnome2 do 7.2 a moc me neoslovilo. Samozrejme to do systemu nahralo milion baliku a knihoven a pri pkg_deinstall gnome2 to vzalo v podstate jen par(10-20) kousku z vic jak stovky nainstalovanych. Diky sve skleroze sem opomel udelat dump filesystemu pro snadny navrat do startovaci pozice a ted tu mam bednu s milionem nainstalovanych nesmyslu a nevim jak se toho zbavit. Zkousel jsem na to jit postupne po balicich s gnome description, ale je to nekonecny a neustale se to mota v dependency hell. Takze otazka je, jakou kombinaci prepinacu nastroju pro praci s baliky mam zvolit abych se zbavil vseho co se me nainstalovalo zaroven s gnome2. Petr From gabriel at maxpark.cz Sun Jun 28 21:20:05 2009 From: gabriel at maxpark.cz (Gabriel) Date: Sun, 28 Jun 2009 21:20:05 +0200 Subject: Prace s porty In-Reply-To: <4A47B5C5.5080508@quasan.com> References: <4A47B5C5.5080508@quasan.com> Message-ID: On Sun, 28 Jun 2009 20:26:13 +0200, freebsdml at quasan.com wrote: > dependency hell. Takze otazka je, jakou kombinaci prepinacu nastroju pro > praci s baliky mam zvolit abych se zbavil vseho co se me nainstalovalo > zaroven s gnome2. Naposledy som podobny problem riesil radikalne: # pkg_deinstal -frRi # pkgdb -Fv Za pokus stoji pkg_deinstal -frRn , co ukaze, co by sa odinstalovalo (prepinac -n = noexecute). Gabriel From dan at obluda.cz Sun Jun 28 21:55:35 2009 From: dan at obluda.cz (Dan Lukes) Date: Sun, 28 Jun 2009 21:55:35 +0200 Subject: Prace s porty In-Reply-To: <4A47B5C5.5080508@quasan.com> References: <4A47B5C5.5080508@quasan.com> Message-ID: <4A47CAB7.2080208@obluda.cz> freebsdml at quasan.com wrote: > potreboval bych helpnout-nakopnout se systemem portu. Nainstaloval jsem > si gnome2 do 7.2 a moc me neoslovilo. Samozrejme to do systemu nahralo > milion baliku a knihoven a pri pkg_deinstall gnome2 to vzalo v podstate > jen par(10-20) kousku z vic jak stovky nainstalovanych. No, to je rozhodne zajimave. Protoze "prosty" pkg_deinstall vezme jen ten samotny port jehoz deinstalace se zada a rekurzivni deinstall n adruhou stranu bere vsechno. Jak by doslo k tomu, ze by byla deinstalovana jen cast vetsi ne jedna, to nevim. > skleroze sem opomel udelat dump filesystemu pro snadny navrat do > startovaci pozice a ted tu mam bednu s milionem nainstalovanych nesmyslu > a nevim jak se toho zbavit. Zkousel jsem na to jit postupne po balicich > s gnome description, ale je to nekonecny a neustale se to mota v > dependency hell. I to je trochu divne. Vezmi seznam vsech nainstalovanych baliku. Z nej vyrad ty baliky, ktere tam mit chces (jen ty, co tam opravdu mit chces, to znamena, neres jejich zavislosti). Zbyde ti seznam kandidatu na deinstalaci. Pak napises pkg_delete ZDE_SEZNAM_VSECH_TECH_PORTU_ODDELENY_MEZERAMI Cast tech balicku se nepodari odinstalovat, protoze budou zavislostmi neceho, co v systemu je, ale neco se odinstalovat povede. Tento prikaz je poreba pustit nekolikrat dokola zmeny v seznamu balicku) - tak dlouho, az se pri nejakem spusteni uz nepodari odinstalovat naprosto nic (vsechno selze protoze je to pozadovana zavislost neceho). V teto chvili mas v systemu jen to co chces ty a pak veci, ktere jsou potreba jako zavislosti toho, co chces. Dan From jojo at matfyz.cz Sun Jun 28 22:11:14 2009 From: jojo at matfyz.cz (Marian Cerny) Date: Sun, 28 Jun 2009 22:11:14 +0200 Subject: Prace s porty In-Reply-To: <4A47B5C5.5080508@quasan.com> References: <4A47B5C5.5080508@quasan.com> Message-ID: <4A47CE62.6000400@matfyz.cz> On 28.6.2009 20:26, freebsdml at quasan.com wrote: > potreboval bych helpnout-nakopnout se systemem portu. Nainstaloval > jsem si gnome2 do 7.2 a moc me neoslovilo. Samozrejme to do systemu > nahralo milion baliku a knihoven a pri pkg_deinstall gnome2 to vzalo v > podstate jen par(10-20) kousku z vic jak stovky nainstalovanych. Diky > sve skleroze sem opomel udelat dump filesystemu pro snadny navrat do > startovaci pozice a ted tu mam bednu s milionem nainstalovanych > nesmyslu a nevim jak se toho zbavit. Zkousel jsem na to jit postupne > po balicich s gnome description, ale je to nekonecny a neustale se to > mota v dependency hell. Takze otazka je, jakou kombinaci prepinacu > nastroju pro praci s baliky mam zvolit abych se zbavil vseho co se me > nainstalovalo zaroven s gnome2. Jedna z moznosti je pouzit program pkg_rmleaves (alebo nejaky ekvivalentny), ktory zobrazi zoznam balickov, ktore su listami v strome zavislosti (na danych balickoch uz nic nezavisi) a v tomto zozname si vyberies, ktore balicky chces nechat a ktore odinstalovat. Po odinstalovani zvolenych balickov sa znovu zobrazi zoznam novo vzniknutych listov, az kym ziadne nove listy odinstalovanim nevzniknu. Marian From freebsdml at quasan.com Mon Jun 29 09:35:21 2009 From: freebsdml at quasan.com (freebsdml at quasan.com) Date: Mon, 29 Jun 2009 09:35:21 +0200 Subject: Prace s porty In-Reply-To: <4A47CE62.6000400@matfyz.cz> References: <4A47B5C5.5080508@quasan.com> <4A47CE62.6000400@matfyz.cz> Message-ID: <20090629093521.64907olm4scqjs2s@192.168.1.10> Zatim thx za namety, ale vypada to, ze nejlepsim nastrojem pro praci s porty ve Fbsd bude dump /dev/ad*, tedy alepson v pripade instalace a deinstalace takovych molochu jako gnome2 a Kde. ---------------------------------------------------------------- This message was sent using IMP, the Internet Messaging Program. From jozef.babjak at gmail.com Mon Jun 29 09:49:15 2009 From: jozef.babjak at gmail.com (Jozef Babjak) Date: Mon, 29 Jun 2009 09:49:15 +0200 Subject: Prace s porty In-Reply-To: <20090629093521.64907olm4scqjs2s@192.168.1.10> References: <4A47B5C5.5080508@quasan.com> <4A47CE62.6000400@matfyz.cz> <20090629093521.64907olm4scqjs2s@192.168.1.10> Message-ID: > Zatim thx za namety, ale vypada to, ze nejlepsim nastrojem pro praci s porty > ve Fbsd bude dump /dev/ad*, tedy alepson v pripade instalace a deinstalace > takovych molochu jako gnome2 a Kde. ^-- To snad nebude treba. Ja ked instalujem nejake aplikacie na pokusy, pomocou pkg_info si do suboru ulozim zoznam balikov pred instalaciou, nainstalujem pozadovany balik vratane zavislosti a pomocou pkg_info si do ineho suboru ulozim zoznam balikov po instalacii. Diff-nut tieto dva subory, vy-cut-ovat prislusny stlpec a cez xargs ho nacpat do pkg_deinstall je uz potom trivialne. Akurat ze na pripadne odinstalovanie treba mysliet pred instalaciou. Btw, take "molochy" maju zvycajne najaku -lite obdobu; neviem ako Gnome, ale KDE ma KDE-lite port, ktory nainstaluje len urcitu - takmer minimalnu - podmnozinu KDE portov. J. From jozef.babjak at gmail.com Mon Jun 29 09:58:24 2009 From: jozef.babjak at gmail.com (Jozef Babjak) Date: Mon, 29 Jun 2009 09:58:24 +0200 Subject: Prace s porty In-Reply-To: <4A47CAB7.2080208@obluda.cz> References: <4A47B5C5.5080508@quasan.com> <4A47CAB7.2080208@obluda.cz> Message-ID: > Pak napises > > pkg_delete ZDE_SEZNAM_VSECH_TECH_PORTU_ODDELENY_MEZERAMI > > Cast tech balicku se nepodari odinstalovat, protoze budou zavislostmi > neceho, co v systemu je, ale neco se odinstalovat povede. Tento prikaz je > poreba pustit nekolikrat dokola zmeny v seznamu balicku) - tak dlouho, az se > pri nejakem spusteni uz nepodari odinstalovat naprosto nic (vsechno selze > protoze je to pozadovana zavislost neceho). ^-- Este mi napadlo: ciastocne moze pomoct vypis RUN a BUILD dependencies pre dany balik; nepamatam si presne mena pre tie pretty-print ciele programu make, ale su v man ports. V trivialnom pripade moze pomoct spustit "make clean" v adresari daneho portu a pozriet sa, co vsetko cleanuje ako zavislost. Ale trivialny pripad asi nie je to, co opytujuceho sa zaujima. J. From zburget at burgnet.cz Mon Jun 29 10:15:14 2009 From: zburget at burgnet.cz (=?UTF-8?B?WmJ5bsSbayBCdXJnZXQ=?=) Date: Mon, 29 Jun 2009 10:15:14 +0200 Subject: Prace s porty In-Reply-To: <20090629093521.64907olm4scqjs2s@192.168.1.10> References: <4A47B5C5.5080508@quasan.com> <4A47CE62.6000400@matfyz.cz> <20090629093521.64907olm4scqjs2s@192.168.1.10> Message-ID: <4A487812.60501@burgnet.cz> freebsdml at quasan.com napsal(a): > Zatim thx za namety, ale vypada to, ze nejlepsim nastrojem pro praci s > porty ve Fbsd bude dump /dev/ad*, tedy alepson v pripade instalace a ^^^^^^^^^^^^^^ tak to nebude ani omylem - FBSD ma velice dobre nastroje na praci s porty, doporucuju zacit ctenim man portupgrade. A dal letmym nahlednutim do struktury /var/db/pkg/* Pokud uz jsi neco odinstaloval fucne, (znamena to, ze nepujde pouzit pkg_deinstal -R gnome aby ti hezky odebral vsechno, co chces), mas mimo jine i napr. nasledujici dve moznosti: 1. Gnome proste znovu doinstalovat (aby se "opravila" cela struktura zavislosti a nasledne pak pustit odinstalaci gnome s parametrem -R (rekurzivne bere vse, co uz neni k nicemu dalsimu potreba) 2. vysypat si (z vyse zmineneho /var/db/pkg/) seznam vsech portu, ktere neobsahuji soubor +REQUIRED_BY (tedy neni na nich nic zavisleho) a ty pak jeden po druhem opet rekurzivne likvidovat - pokud se ti bude chtit a bude to casove stat ze to, muzes si tuhle akci i nejak zautomatizovat. Ale myslim si, ze tech koncovch portu nebude zase az tak moc (radove jednotky). Zbynek From jojo at matfyz.cz Mon Jun 29 16:24:42 2009 From: jojo at matfyz.cz (Marian Cerny) Date: Mon, 29 Jun 2009 16:24:42 +0200 Subject: Prace s porty In-Reply-To: <4A487812.60501@burgnet.cz> References: <4A47B5C5.5080508@quasan.com> <4A47CE62.6000400@matfyz.cz> <20090629093521.64907olm4scqjs2s@192.168.1.10> <4A487812.60501@burgnet.cz> Message-ID: <4A48CEAA.9070007@matfyz.cz> On 29.6.2009 10:15, Zbyn?k Burget wrote: > 2. vysypat si (z vyse zmineneho /var/db/pkg/) seznam vsech portu, > ktere neobsahuji soubor +REQUIRED_BY (tedy neni na nich nic zavisleho) > a ty pak jeden po druhem opet rekurzivne likvidovat - pokud se ti bude > chtit a bude to casove stat ze to, muzes si tuhle akci i nejak > zautomatizovat. Ale myslim si, ze tech koncovch portu nebude zase az > tak moc (radove jednotky). Namiesto 2. je urcite jednoduchsie nainstalovat a pouzit uz mnou spominane pkg_rmleaves ;-). Marian From freebsdml at quasan.com Tue Jun 30 19:13:51 2009 From: freebsdml at quasan.com (freebsdml at quasan.com) Date: Tue, 30 Jun 2009 19:13:51 +0200 Subject: Prace s porty In-Reply-To: <4A47B5C5.5080508@quasan.com> References: <4A47B5C5.5080508@quasan.com> Message-ID: <4A4A47CF.8070002@quasan.com> Tak vsem diky za namety, ale zadna pomucka zde uvedena nevyresila muj problem. Zdase, ze jak se jednou ve fbsd povicero provazou zavislosti jednotlivych portu tak se jen tezko vracite kamsi nazpet. Takze po teto zkusenosti bude pro me opravdu nejlepsim nastrojem pro praci s porty dump&restore, tedy alespon pri instalaci vetsiho mnozstvi baliku. Nepochybuji, ze by to tady nekteri jedinci nedokazali zvladnout, urcite dokazali...zkratka by se do toho zakousli a sli balik po baliku a nakonec to procistili. Nicmene je to taky o efektivite vyuziteho casu. Bud stravim X hodin likvidaci baliku po baliku a budu doufat, ze si diky tomu neodkrouhnu treba sambu, ktera pocita s nejakou XY knihovou, ktera na prvni pohled nema se sambou nic spolecnyho nebo zkratka a jednoduse si v pripade chybejiciho dumpu vezmu instalacni cd, zkopiruju konfiguraky, dumpnu si databaze a za 1-2 hodinky sem hotov a mam jistotu funkcniho systemu, kdy se nemusim desit, ze se po restartu nerozjede polovina sluzeb kvuli chybejici *lib*.so. Petr From 000.fbsd at quip.cz Tue Jun 30 19:33:58 2009 From: 000.fbsd at quip.cz (Miroslav Lachman) Date: Tue, 30 Jun 2009 19:33:58 +0200 Subject: Prace s porty In-Reply-To: <4A4A47CF.8070002@quasan.com> References: <4A47B5C5.5080508@quasan.com> <4A4A47CF.8070002@quasan.com> Message-ID: <4A4A4C86.2050301@quip.cz> freebsdml at quasan.com wrote: > Tak vsem diky za namety, ale zadna pomucka zde uvedena nevyresila muj > problem. Zdase, ze jak se jednou ve fbsd povicero provazou zavislosti > jednotlivych portu tak se jen tezko vracite kamsi nazpet. Takze po teto > zkusenosti bude pro me opravdu nejlepsim nastrojem pro praci s porty > dump&restore, tedy alespon pri instalaci vetsiho mnozstvi baliku. > Nepochybuji, ze by to tady nekteri jedinci nedokazali zvladnout, urcite > dokazali...zkratka by se do toho zakousli a sli balik po baliku a > nakonec to procistili. Nicmene je to taky o efektivite vyuziteho casu. > Bud stravim X hodin likvidaci baliku po baliku a budu doufat, ze si diky > tomu neodkrouhnu treba sambu, ktera pocita s nejakou XY knihovou, ktera > na prvni pohled nema se sambou nic spolecnyho nebo zkratka a jednoduse > si v pripade chybejiciho dumpu vezmu instalacni cd, zkopiruju > konfiguraky, dumpnu si databaze a za 1-2 hodinky sem hotov a mam jistotu > funkcniho systemu, kdy se nemusim desit, ze se po restartu nerozjede > polovina sluzeb kvuli chybejici *lib*.so. Rekl bych, ze ve tvem pripade doslo k nepochopeni zde popsanych reseni a nebo nepochopeni zakladnich principu balikovaciho systemu na FreeBSD. Pokud nejakemu tomu systemu na deinstalaci (at uz je to pkg_delete, pkg_deinstall, nebo neco jineho) nevnutis nasilne odebrani neceho, na cem zavisi dalsi balik, tak se to samovolne neodinstaluje a "nemuze se stat", ze ti pak bude chybet nejaka knihovna. Ten system baliku je udelany prave tak, ze se udrzuji informace o tom, co na cem zavisi. Takze to spravne a skutecen fungujici reseni tu od nekoho uz rozhodne padlo a neni to ani o hodinach stravenych u pocitace, je to jen o tom, zadat par prikazu opakovane po sobe a vzdy pockat na jejich dokonceni, ktere bude nekde v radu desitek sekund, mozna minut (netusim, jak velkym molochem je gnome, ja ho nepouzivam) From dan at obluda.cz Tue Jun 30 21:31:32 2009 From: dan at obluda.cz (Dan Lukes) Date: Tue, 30 Jun 2009 21:31:32 +0200 Subject: Prace s porty In-Reply-To: <4A4A47CF.8070002@quasan.com> References: <4A47B5C5.5080508@quasan.com> <4A4A47CF.8070002@quasan.com> Message-ID: <4A4A6814.50005@obluda.cz> freebsdml at quasan.com wrote: > Tak vsem diky za namety, ale zadna pomucka zde uvedena nevyresila muj > problem. Pak jsme mozna nepochopili jaky mas problem - protoze ten, ktery jsi popsal, reseni ma, dokonce nekolik, a nektera z nich tu padla. Jsou zarucene funkcni. Zadne z nich neobsahovalo "nasilne" odinstalovani cehokoliv, na cem neco dalsiho visi a tudiz k tebou popisovanemu "odinstaluju si neco na cem zavisi Samba" dojit nemuze. Odhadovany cas na vyreseni problemu popsanymi resenimi by mel byt okolo dvaceti az triceni minut a nevyzaduje mit v hlave jakekoliv znalosti o vzajemnych zavislotech jednotlivych baliku. > zkratka a jednoduse si v pripade chybejiciho dumpu vezmu instalacni cd, zkopiruju > konfiguraky, dumpnu si databaze a za 1-2 hodinky sem hotov a mam jistotu > funkcniho systemu I toto je funkcni reseni a budiz ti prano. Zalohovat je tak jako tak vhodne a pokud toto reseni soucasne resi zalohovani systemi a dat, tak to nakonec muze byt efektivni spojene reseni dvou ruznych problemu. Dan