|
|
|
Железный канал: «Linux» |
|
|
Voha 930 EGP
Рейтинг канала: 9(1038) Репутация: 167 Сообщения: 4920 Откуда: Moscow, Russia Зарегистрирован: 15.02.2001 |
|
Mort : |
Я правильно понимаю, что мне надо создать юнит, запускающий скрипт фильтрации и пихнуть его /etc/systemd/system/
?
|
примерно так, да
_________________ Time will show... |
|
|
Гарри Портер 262 EGP
Рейтинг канала: 3(49) Репутация: -70 Сообщения: 4750 Предупреждений: 1 Откуда: Раттус такой взялся? Зарегистрирован: 11.11.2013 |
|
Да не, херня какая то получается. Эти юниты, создаваемые в систем.д - в основном это же службы. А мне лишь надо запускать скрипт баш, чтобы фильтрацию запускал. Для этого создавать и держать службу совсем ни к чему ведь.
_________________ 55.811115, 51.724584 |
|
|
Voha 930 EGP
Рейтинг канала: 9(1038) Репутация: 167 Сообщения: 4920 Откуда: Moscow, Russia Зарегистрирован: 15.02.2001 |
|
Mort : |
Да не, херня какая то получается. Эти юниты, создаваемые в систем.д - в основном это же службы. А мне лишь надо запускать скрипт баш, чтобы фильтрацию запускал. Для этого создавать и держать службу совсем ни к чему ведь.
|
systemd unit - интерфейсная абстракция между systemd и произвольным ресурсом или описанием состояния системы. Запуск фильтрации - переход системы из одного целевого состояния в другое, и как бы логично использовать для достижения целевого состояния стандартный инструмент (а не пытаться сделать это через жопу креативно просто потому, что подобная возможность существует).
_________________ Time will show... |
|
|
Гарри Портер 262 EGP
Рейтинг канала: 3(49) Репутация: -70 Сообщения: 4750 Предупреждений: 1 Откуда: Раттус такой взялся? Зарегистрирован: 11.11.2013 |
|
Да, согласен. Я тут подробней почитал про него и создал юнит, запускающий скрипт, который запускает другие скрипты. С другой стороны чем вот это лучше старого рс.локал я не пойму?))
Только разве что тем, что в систем.д можно указать после какого процесса нужно твоему скрипту/программе запустится.
_________________ 55.811115, 51.724584 |
|
|
Voha 930 EGP
Рейтинг канала: 9(1038) Репутация: 167 Сообщения: 4920 Откуда: Moscow, Russia Зарегистрирован: 15.02.2001 |
|
Mort : |
С другой стороны чем вот это лучше старого рс.локал я не пойму?))
|
Так разберись, тебя же в интернетах не забанили
Уж более пяти лет как линукс пытается уползти с LSB PDA модели runlevel'ов на event-based модель, зайчатки которой были в upstart и довольно приличная реализация в systemd.
Собственно, если в systemd убрать режим совместимости с LSB PDA (а в какой-нить очередной мажорной версии бубунты так и сделают) - перестанут генерироваться runlevel events и все rc* (включая rc.local, который "executed at the end of each multiuser runlevel") превратятся в тыкву.
Mort : |
Только разве что тем, что в систем.д можно указать после какого процесса нужно твоему скрипту/программе запустится.
|
Опчемта последовательность выполнения и в LSB PDA имеет место быть, в виде чиселок в именах ссылок
Код: |
~$ ls -la /etc/rc5.d/
drwxr-xr-x 2 root root 4096 Jul 29 15:39 .
drwxr-xr-x 102 root root 4096 Nov 19 18:04 ..
-rw-r--r-- 1 root root 677 Feb 17 2016 README
lrwxrwxrwx 1 root root 15 Jun 7 2018 S15bind9 -> ../init.d/bind9
lrwxrwxrwx 1 root root 14 Jun 4 2018 S20acct -> ../init.d/acct
lrwxrwxrwx 1 root root 14 Jun 4 2018 S20atop -> ../init.d/atop
lrwxrwxrwx 1 root root 14 Jun 7 2018 S20bird -> ../init.d/bird
lrwxrwxrwx 1 root root 15 Jun 7 2018 S20bird6 -> ../init.d/bird6
lrwxrwxrwx 1 root root 17 Jun 4 2018 S20ifplugd -> ../init.d/ifplugd
lrwxrwxrwx 1 root root 17 Jun 4 2018 S20ipmievd -> ../init.d/ipmievd
lrwxrwxrwx 1 root root 16 Jun 4 2018 S20mcelog -> ../init.d/mcelog
lrwxrwxrwx 1 root root 17 Jun 4 2018 S20postfix -> ../init.d/postfix
lrwxrwxrwx 1 root root 15 Jun 4 2018 S20rsync -> ../init.d/rsync
lrwxrwxrwx 1 root root 24 Jun 4 2018 S20screen-cleanup -> ../init.d/screen-cleanup
lrwxrwxrwx 1 root root 23 Jun 4 2018 S20smartmontools -> ../init.d/smartmontools
lrwxrwxrwx 1 root root 17 Jun 4 2018 S20sysstat -> ../init.d/sysstat
lrwxrwxrwx 1 root root 18 Jun 7 2018 S20telegraf -> ../init.d/telegraf
lrwxrwxrwx 1 root root 16 Jul 29 15:39 S20vnstat -> ../init.d/vnstat
lrwxrwxrwx 1 root root 22 Jun 7 2018 S20zabbix-agent -> ../init.d/zabbix-agent
lrwxrwxrwx 1 root root 18 Jun 4 2018 S21openipmi -> ../init.d/openipmi
lrwxrwxrwx 1 root root 13 Jun 4 2018 S23ntp -> ../init.d/ntp
lrwxrwxrwx 1 root root 15 Jun 4 2018 S25mdadm -> ../init.d/mdadm
lrwxrwxrwx 1 root root 14 Jun 4 2018 S50edac -> ../init.d/edac
lrwxrwxrwx 1 root root 21 Jun 4 2018 S99grub-common -> ../init.d/grub-common
lrwxrwxrwx 1 root root 18 Jun 4 2018 S99rc.local -> ../init.d/rc.local
|
_________________ Time will show... |
|
|
Гарри Портер 262 EGP
Рейтинг канала: 3(49) Репутация: -70 Сообщения: 4750 Предупреждений: 1 Откуда: Раттус такой взялся? Зарегистрирован: 11.11.2013 |
|
Я чесна говоря замучился уже))
Настроил сквид. Прописал назначил порт по умолчанию 3128. Задаю родительский прокси через параметр cache_peer, так же прописываю там аутентификацию и нифига. Клиентский комп сообщает что прокси-сервер отказывает в соединении.
Если эту строчку закомментировать, то сквид уже напрямую обращается в интернет и естественно нихрена у него не получается.
Можете мне помочь понять, что у меня не так?
Код: |
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow localnet #разрешаем списку локальной сети доступ к сквиду
http_access allow localhost
http_access deny all #блокаем все, что не разрешено явно
http_port 192.168.X.X:8080 #задаем айпи адрес и порт работы сквида в прозрачном режиме (интерсепт)
cache_peer parent.proxy parent 8080 0 default no-query login=XXX:YYY originserver #тут я от отчаяния поменял порт 3128 на 8080. По телнету теперь на этот порт заходит, но интернета по прежнему нет
|
_________________ 55.811115, 51.724584
Последний раз редактировалось: Гарри Портер (08:04 21-11-2019), всего редактировалось 2 раз(а) |
|
|
Voha 930 EGP
Рейтинг канала: 9(1038) Репутация: 167 Сообщения: 4920 Откуда: Moscow, Russia Зарегистрирован: 15.02.2001 |
|
Да хрен знает, что у тебя не так. Нужен как минимум тот фрагмент конфига сквида, строки в котором начинаются с acl
_________________ Time will show... |
|
|
Гарри Портер 262 EGP
Рейтинг канала: 3(49) Репутация: -70 Сообщения: 4750 Предупреждений: 1 Откуда: Раттус такой взялся? Зарегистрирован: 11.11.2013 |
|
Вот:
Код: |
acl SSL_ports port 443
acl Safe_ports port 3128 # этот порт я добавил в надежде что что-то измениться
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 #gopher
acl Safe_ports port 210 # waisr
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 288 # gss-http
acl Safe_ports port 777 # multiling http
acl all src 0.0.0.0/0.0.0.0
acl localnet src 192.168.X.0/24 #создаем список доступа локальной сети
acl CONNECT method CONNECT
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow localnet #разрешаем списку локальной сети доступ к сквиду
http_access allow localhost
http_access deny all #блокаем все, что не разрешено явно
newer_direct allow localnet
http_port 192.168.X.Х:3128 #задаем айпи адрес и порт работы сквида в прозрачном режиме (интерсепт)
cache_peer i.tatar.ru parent 8080 3120 proxy-only default login=XXX:YYY
cashe_peer_access parent.proxy allow localnet
#cache_effective_user proxy
#cache_effective_group proxy
#cache_peer_access i.tatar.ru allow
#prefer_direct off
#never_direct allow localnet
coredump_dir /var/spool/squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 20% 10080
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Packages(.gz)*)$ 0 20% 2880
refresh_pattern . 0 20% 4320
#кэш
cache_mem 256 MB #объем доступной для кэширования RAM памяти
maximum_object_size_in_memory 512 KB # максимальный размер объекта в кэше
cache_dir ufs /var/spool/squid 4096 32 256
maximum_object_size 5 mb
# logs
access_log daemon:/etc/squid/logs/access.log squid
cache_log daemon:/etc/squid/logs/cache.log
cache_store_log daemon:/etc/squid/logs/store.log
debug_options ALL,1 # секция "ALL", глубина отладки 1
logfile_rotate 31
|
_________________ 55.811115, 51.724584 |
|
|
Voha 930 EGP
Рейтинг канала: 9(1038) Репутация: 167 Сообщения: 4920 Откуда: Moscow, Russia Зарегистрирован: 15.02.2001 |
|
Логи почитай, которые твой сквид пишет. Похоже, что тебя parent-кэш не хочет обслуживать.
_________________ Time will show... |
|
|
Гарри Портер 262 EGP
Рейтинг канала: 3(49) Репутация: -70 Сообщения: 4750 Предупреждений: 1 Откуда: Раттус такой взялся? Зарегистрирован: 11.11.2013 |
|
У меня походу сквид вообще не работает.
squid -k rotate
WARNING: Cannot write log file: daemon:/etc/squid/logs/cache.log
daemon:/etc/squid/logs/cache.log: No such file or directory
messages will be sent to 'stderr'.
squid: ERROR: Could not send signal 10 to process 19886: (3) No such process
_________________ 55.811115, 51.724584 |
|
|
BabyWolf 294 EGP
Репутация: 72 Сообщения: 579 Откуда: Новосибирск Зарегистрирован: 03.12.2003 |
|
Стал падать dhcp:
ноя 17 16:44:00 archlinux systemd[1]: Started Process Core Dump (PID 938503/UID 0).
ноя 17 16:44:00 archlinux systemd-coredump[938505]: Process 577136 (dhcpcd) of user 0 dumped core.
Stack trace of thread 577136:
#0 0x00007fcf8299cf25 raise (libc.so.6)
#1 0x00007fcf82986897 abort (libc.so.6)
#2 0x00007fcf829e0258 __libc_message (libc>
#3 0x00007fcf829e777a malloc_printerr (lib>
#4 0x00007fcf829e7fec unlink_chunk.isra.0 >
#5 0x00007fcf829eac31 _int_malloc (libc.so>
#6 0x00007fcf829ecc15 __libc_calloc (libc.>
#7 0x000055d2f5b54d10 ipv6nd_advertise (dh>
#8 0x000055d2f5b51b89 ipv6_addaddr1 (dhcpc>
#9 0x000055d2f5b51cd6 ipv6_addaddrs (dhcpc>
#10 0x000055d2f5b547a9 ipv6nd_handledata (d>
#11 0x000055d2f5b363ab eloop_start (dhcpcd)
#12 0x000055d2f5b30d6d main (dhcpcd)
#13 0x00007fcf82988153 __libc_start_main (l>
#14 0x000055d2f5b3147e _start (dhcpcd)
ноя 17 16:44:00 archlinux systemd[1]: systemd-coredump@1-938503-0.service: Succeeded.
Было пару раз. Пока перезапускаю через sudo dhcpcd enp3s0.
Надо ли беспокоиться и расследовать почему или и так норм?
_________________ Не пью; не курю; женщинами интересуюсь, но редко.
Последний раз редактировалось: BabyWolf (19:23 21-11-2019), всего редактировалось 1 раз |
|
|
Voha 930 EGP
Рейтинг канала: 9(1038) Репутация: 167 Сообщения: 4920 Откуда: Moscow, Russia Зарегистрирован: 15.02.2001 |
|
Mort : |
У меня походу сквид вообще не работает.
|
Работает, скриншот с ошибкой тебе кто-то же отдал А вот пути к логам неплохо бы направить в туда, куда сквид сможет писать (и это явно не /etc, а что-то в районе /var/log/squid...
_________________ Time will show... |
|
|
Гарри Портер 262 EGP
Рейтинг канала: 3(49) Репутация: -70 Сообщения: 4750 Предупреждений: 1 Откуда: Раттус такой взялся? Зарегистрирован: 11.11.2013 |
|
Voha : |
Работает, скриншот с ошибкой тебе кто-то же отдал Улыбка А вот пути к логам неплохо бы направить в туда, куда сквид сможет писать (и это явно не /etc, а что-то в районе /var/log/squid...
|
Вообще да. Я задумывался об этом. Но видишь ли, дело в том. Что подобную ошибку он формирует крайне-крайне редко. Вот он вернул ошибку, а если через 10 секунд обновить страницу, то уже стандартное прокси-сервер недоступен или что-то в этом роде.
_________________ 55.811115, 51.724584 |
|
|
Гарри Портер 262 EGP
Рейтинг канала: 3(49) Репутация: -70 Сообщения: 4750 Предупреждений: 1 Откуда: Раттус такой взялся? Зарегистрирован: 11.11.2013 |
|
Хм. Выполнил команду squid3 -XNd:
Код: |
sudo squid3 XNd
WARNING: Cannot write log file: daemon:/var/log/squid/cache.log
daemon:/var/log/squid/cache.log: No such file or directory
messages will be sent to 'stderr'.
2019/11/21 14:50:13| Squid is already running! Process ID 21109
|
Опять ругнулось на кэш, написало что процесс уже запущен, НО:
интернет вдруг появился!
Ничего не понимаю. Если процесс итак уже был запущен, то что изменилось то?
_________________ 55.811115, 51.724584 |
|
|
Гарри Портер 262 EGP
Рейтинг канала: 3(49) Репутация: -70 Сообщения: 4750 Предупреждений: 1 Откуда: Раттус такой взялся? Зарегистрирован: 11.11.2013 |
|
Чем дальше в лес, тем толще партизанен (с).
Переставил ос, сквид запустился с полпинка. Но недолго я радовалсо. Почему то в ядре отсутствовал модуль айпитейблс. Попробовал было пересобрать ядро, но в процессе понял, что сие действие не для моих кривых ручек
Короче бог любит троицу, с третьей переустановки вроде бы все встало как надо. Правда я опять намудрил с правилами айпитейблс и пришлось идтить к компу, потому что он обрубил все соединения на корню
Ну так я что пишу то. Сквид пашет, правила работают, интернет стабильный есть. Есть и https, всякие онлайн кабинеты пашут, пашет веб-администрирование пользователей, но только не пашет веб почта аутлуук https://mail.tatar.ru/owa
Почему блин? Это же не обычная почта, это же вебка. Или несмотря на то, что там вебка, она тоже юзает обычные почтовые порты?
_________________ 55.811115, 51.724584 |
|
|
Гарри Портер 262 EGP
Рейтинг канала: 3(49) Репутация: -70 Сообщения: 4750 Предупреждений: 1 Откуда: Раттус такой взялся? Зарегистрирован: 11.11.2013 |
|
Самое смешное, что проблема была в параметре never_direct. Столько убитого времени и издевательства над сквидом...
Где тут значок фейспалма
_________________ 55.811115, 51.724584 |
|
|
Grebomet 1460 EGP
Рейтинг канала: 8(753) Репутация: 261 Сообщения: 4765 Откуда: Питербурх Зарегистрирован: 06.01.2003 |
|
BabyWolf : |
Было пару раз. Пока перезапускаю через sudo dhcpcd enp3s0.
Надо ли беспокоиться и расследовать почему или и так норм?
|
Судя по ошибке - где-то внутри dhcpd ошибка при работе с памятью. То ли дважды удалили один и тот же кусок, то ли еще какая подобная дрянь. Забей. Это не твоя ошибка.
По дампам расследовать такие ошибки вообще бессмысленно. Тут нужен или valgrind какой-нибудь, или electric fence, или еще какая приблуда для отладки работы с памятью.
_________________ Классическая ошибка, которую совершают проектировщики абсолютно надежных систем, – недооценка изобретательности клинических идиотов. |
|
|
Гарри Портер 262 EGP
Рейтинг канала: 3(49) Репутация: -70 Сообщения: 4750 Предупреждений: 1 Откуда: Раттус такой взялся? Зарегистрирован: 11.11.2013 |
|
Помогите пожалуйста разобраться, что в этой строке для iptables не так?
Код: |
sudo iptables -P FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables v1.6.1: -P requires a chain and a policy
Try `iptables -h' or 'iptables --help' for more information.
|
добавлено спустя 55 минут:
Вместо параметра "-P", надо было "-А" написать
добавлено спустя 1 минуту:
Но вот пока сюда не напишу, сам не найду. Что за ерунда какая-то...
Припоминаю, как будучи школьником так же мучился с переводом над немецким. Пока учебник об стену со злости не брошу, ничего не переводится
_________________ 55.811115, 51.724584
Последний раз редактировалось: Гарри Портер (16:45 28-11-2019), всего редактировалось 3 раз(а) |
|
|
AnrDaemon 857 EGP
Рейтинг канала: 8(784) Репутация: 37 Сообщения: 12292
Зарегистрирован: 17.10.2004 |
|
Я уже лет пять пользуюсь исключительно iptables-save/-restore/-apply.
_________________ Люблю свободный полёт... :) |
|
|
BabyWolf 294 EGP
Репутация: 72 Сообщения: 579 Откуда: Новосибирск Зарегистрирован: 03.12.2003 |
|
Вот скрипт для запуска Windows10 guest on host Arch.
Код: |
#!/bin/sh
/usr/bin/qemu-system-x86_64 \
-enable-kvm \
-cpu host,hv_relaxed,hv_spinlocks=0x1fff,hv_vapic,hv_time \
-smp 2 \
-machine q35 \
-device intel-iommu \
-m 4096 \
-drive file=/dev/sda,index=0,media=disk,format=raw \
-vga qxl \
-device virtio-serial-pci \
-device virtserialport,chardev=spicechannel0,name=com.redhat.spice.0 \
-chardev spicevmc,id=spicechannel0,name=vdagent \
-spice unix,addr=/tmp/vm_spice.socket,disable-ticketing \
-display spice-app \
-monitor stdio \
-usb -device usb-tablet \
-device qemu-xhci,id=xhci \
-device nec-usb-xhci,id=usb \
-chardev spicevmc,name=usbredir,id=usbredirchardev1 -device usb-redir,chardev=usbredirchardev1,id=usbredirdev1 \
-chardev spicevmc,name=usbredir,id=usbredirchardev2 -device usb-redir,chardev=usbredirchardev2,id=usbredirdev2 \
-chardev spicevmc,name=usbredir,id=usbredirchardev3 -device usb-redir,chardev=usbredirchardev3,id=usbredirdev3 \
-soundhw hda \
-device virtio-net,netdev=network0 -netdev tap,id=network0,ifname=tap0,script=no,downscript=no,vhost=on \
-rtc base=localtime \
-name "Windows10"
|
Поругайте. Что можно добавить, что можно убрать?
Цель обычная машина для удаленной техподдержки, без игрушек и прочих 3D.
_________________ Не пью; не курю; женщинами интересуюсь, но редко. |
|
|
|
|
|
Железный канал: «Linux» |
|