Show Posts
This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.
1
Russian / Zentyal + nginx_proxy
« on: March 13, 2014, 11:19:01 am »
Всем доброго дня. Помогите пожалуйста с реализацией такой схемы.
На данный момент все работает так. На входе Zentyal перенаправляет 80 порт на сервер в локалке, на котором стоит nginx + php5-fpm + некоторые сервисы (с веб_мордой). Nginx по имени сервера определяет что отдавать, либо сайты, либо сервисы у которых свои веб_морды(висят на разных портах). Появилась задача, чтобы этот nginx отдавал еще и другой сайт, управляемый apache2 и распалагающийся на другой машине. Как делаю я, поднимаю еще один виртуалхост nginx-а, такой же как и для сервисов с проксей на ip нужного мне сервера, в итоге Zentyal все это дело блокирует и грит что нет доуступа. В логах ничего отловить не могу или может не там смотр.
Вот конфиг виртуалхоста nginx-а
На данный момент все работает так. На входе Zentyal перенаправляет 80 порт на сервер в локалке, на котором стоит nginx + php5-fpm + некоторые сервисы (с веб_мордой). Nginx по имени сервера определяет что отдавать, либо сайты, либо сервисы у которых свои веб_морды(висят на разных портах). Появилась задача, чтобы этот nginx отдавал еще и другой сайт, управляемый apache2 и распалагающийся на другой машине. Как делаю я, поднимаю еще один виртуалхост nginx-а, такой же как и для сервисов с проксей на ip нужного мне сервера, в итоге Zentyal все это дело блокирует и грит что нет доуступа. В логах ничего отловить не могу или может не там смотр.
Вот конфиг виртуалхоста nginx-а
Code: [Select]
server {
listen 80;
server_name xxx.service.ru;
access_log /var/log/nginx.access_log;
location / {
proxy_pass http://127.0.0.1:xx/; #хх - порты с сервисами
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-for $remote_addr;
proxy_set_header Host $host;
proxy_connect_timeout 60;
proxy_send_timeout 90;
proxy_read_timeout 90;
proxy_redirect off;
proxy_set_header Connection close;
proxy_pass_header Content-Type;
proxy_pass_header Content-Disposition;
proxy_pass_header Content-Length;
}
}Если же меняю proxy_pass http://127.0.0.1:xx/ на ip нужного сервера с apache2 с портом 80 все, Zentyal ругается на отсутствие доступа.3
Russian / Re: KVM и виртуальные интерфейсы
« on: March 13, 2014, 11:00:04 am »
Переключаете ваш интерфейс eth1 в режим "Мост", должен появится новый интерфейс, допустим "br1", настраиваете его как интерфейс вашей локальной сети, будь то статика или динамика. А потом уже в виртуалке, для сетевого соединения указываете интерфейс br1. В самой же гостевой системе, сеть поднимаете согласно вашей локалки (статика, динамика). И все прекрасно работает. По крайней мере данная схема реализована у меня (Zentyal 3.2+ KVM/QEMU (4 гостевых)).
4
Russian / Re: Установка Xen в Zentyal
« on: October 24, 2013, 07:03:32 am »
Версия ядра Zentyal 3.2.2 (обновлен до 3.2.3)
Дистрибутив
Настраиваем бриджи в Zentyal-е
Сеть --> Интерфейсы --> выбираем нужный и указываем "Мост" появится новый интерфейс "brX", где X-цифра.
Ну а дальше сама установка виртуальных машин. Так как сам Zentyal ставил на LVM то и виртуалки храню не в образах, а прям в LVM для снятия снапшотов и т.д.
Для удаленного управления использую virt-manager
Дистрибутив
Code: [Select]
Linux gate 3.8.0-31-generic #46~precise1-Ubuntu SMP Wed Sep 11 18:21:16 UTC 2013 x86_64 x86_64 x86_64 GNU/LinuxУстановка проста до безобразия.Code: [Select]
sudo apt-get install kvm libvirt-bin bridge-utils
sudo adduser $USER libvirtdДалее по хорошему надо перезагрузиться.Настраиваем бриджи в Zentyal-е
Сеть --> Интерфейсы --> выбираем нужный и указываем "Мост" появится новый интерфейс "brX", где X-цифра.
Ну а дальше сама установка виртуальных машин. Так как сам Zentyal ставил на LVM то и виртуалки храню не в образах, а прям в LVM для снятия снапшотов и т.д.
Для удаленного управления использую virt-manager
Code: [Select]
sudo apt-get install virt-managerИ по ssh коннект к Zentyal-у он автоматом найдет виртуалки.
5
Russian / Re: Установка Xen в Zentyal
« on: October 23, 2013, 01:41:01 pm »
Отвечу сам себе. Правда Xen не ставил, но вот KVM встал без каких-либо проблем из оф. реп и работает уже пордка недели без нареканий. Для управления виртуалками можно использовать как virt-manager так и WebVirtMgr.
6
Russian / Установка Xen в Zentyal
« on: October 10, 2013, 12:47:57 pm »
Всем доброго дня. Кто-нибудь сталкивался с сабжевым вопросом, а именно, установкой и использованием Xen установленным в zentyal. В гугле был и все что находил касалось использования zentyal как гостевой системы, а хотелось бы узнать возможности его как хостовой. С какими проблемами можно столкнутся и так далее.
З.Ы. О встроенном решении читал тоже, что-то отзывы не впечатлили.
Заранее огромное спасибо.
З.Ы. О встроенном решении читал тоже, что-то отзывы не впечатлили.
Заранее огромное спасибо.
7
Russian / Re: Правило IPTABLES
« on: June 14, 2012, 07:39:43 am »Разрешение на выполнение стоит ?Почему то они от туда не работаютНарод, не подскажите, какие опции в графическом интерфейсе фаервола, соответствуют цепочкам FORWARD и INPUT. Например как прописать в фаерволе правилаа почему бы их не оставить в таком же виде и прописать в firewall.postservice ?
iptables -I INPUT -d 224.0.0.0/4 -j ACCEPT
iptables -I FORWARD -s 10.0.0.0/8 -d 224.0.0.0/4 -j ACCEPT
8
Russian / Re: Правило IPTABLES
« on: June 01, 2012, 11:53:30 am »Народ, не подскажите, какие опции в графическом интерфейсе фаервола, соответствуют цепочкам FORWARD и INPUT. Например как прописать в фаерволе правилаа почему бы их не оставить в таком же виде и прописать в firewall.postservice ?
iptables -I INPUT -d 224.0.0.0/4 -j ACCEPT
iptables -I FORWARD -s 10.0.0.0/8 -d 224.0.0.0/4 -j ACCEPT
9
Russian / Re: чет не получается
« on: May 24, 2012, 07:23:03 pm »
http://opennet.ru/tips/info/2009.shtml
попробуй это покури, сам до конца не читал, но может и натолкнет на мысли.
попробуй это покури, сам до конца не читал, но может и натолкнет на мысли.
10
Russian / Re: Проконтролировать флуд-трафик.
« on: May 24, 2012, 04:18:35 pm »
Zentyal тупанул и я вместе с ним, притом непростительно тупанул, у него наружу были открыты порты сквида и дансгвардиана, тобишь 3128 и 3129. Закрыл и все нормально стало.
Следом возникает вопрос, как перекрыть весь входящий и исходящий трафик только по нужным портам. Особенно интересует UDP трафик.
Следом возникает вопрос, как перекрыть весь входящий и исходящий трафик только по нужным портам. Особенно интересует UDP трафик.
11
Russian / Re: Проконтролировать флуд-трафик.
« on: May 24, 2012, 06:24:07 am »А что в наcтройках фаервола вообще? (Правила фильтрации из внешних сетей на Zentyal)Все по дефолту стоит.
Что в журналах фаервола?
Code: [Select]
Deny Any POP Transparent proxy --
Deny Any jabber --
Deny Any Mail Submission --
Deny Any Incoming Mail --
Accept Any ! SMTP --
Deny Any VoIP --
настроено лишь перенаправление портов. Руками еще закрыл 3128 порт, вроде пока чисто и тихо, буду наблюдать дальше. Но в отчетах lightsquid все равно есть левый IPшники...
12
Russian / Re: Проконтролировать флуд-трафик.
« on: May 23, 2012, 09:22:22 pm »поставить что-то в духе bandwidthd - и убедиться, что паразитный траффик идёт не с машины в локальной сети...Извини, но все забыли про 1830 порт, отловил я его еще днем, в локалке дрянь сидела, сейчас же сетевой активности вообще нет, а вот через сквид трафик идет. Возможен ли такой вариант, что кто-то из вне, сконнектился на порт сквида и юзает его в своих целях? Под кем-то, я понимаю каких либо ботов.
может это поможет: http://www.corrupteddatarecovery.com/Port/1830-Port-Type-tcpudp-net8-cman.asp
13
Russian / Re: Проконтролировать флуд-трафик.
« on: May 23, 2012, 08:33:20 pm »Разве не ты писалА теперь самое веселое, вечером в 11, конекчусь из дома к шлюзу на работе по ssh. Запускаю iptraf по eth1 - 0 активности, по eth2 - 0 активности. И на сладенькое по eth0 через сквидовский порт лезет все та же дрянь, по разным адресам и портам. Что за бяда ? Стоит остановить сквид, вся активность прекращается.
"... что куча пакетов идет с порта 1830 на домен mail.nns.net.ru, ..."
Этот порт в локальной сети кто-то использует и выходит через прокси , возможно торрент клиент, агент с рекламмой или просто зараза
у моего клиента с этого и еще нескольких других служебных портов шла рассылка после посещения нехороших сайтов
14
Russian / Re: Проконтролировать флуд-трафик.
« on: May 23, 2012, 02:01:13 pm »Разве не ты писалХорошо, допустим и такое. А как можно обезопасить себя от этого, допустим оставить только нужные порты для http? https, почты, короче все только для работы никакого bittorenta, и по возможности Танчиков.
"... что куча пакетов идет с порта 1830 на домен mail.nns.net.ru, ..."
Этот порт в локальной сети кто-то использует и выходит через прокси , возможно торрент клиент, агент с рекламмой или просто зараза
у моего клиента с этого и еще нескольких других служебных портов шла рассылка после посещения нехороших сайтов
15
Russian / Re: Проконтролировать флуд-трафик.
« on: May 23, 2012, 12:13:19 pm »Программы не имеющие отношения к ZentyalПроверял netstat -anp | grep LISTEN | grep 1830 ничем не используется, ды он и закрыт вроде.
Посмотри для чего используется порт 1830
Что в сервере делает wine?
А вайн от ключа hasp, но как такого его и нет.