Linux-haladó

Sziasztok!

A kovetkezore keresek megoldast.

Syslog-ng-vel gyujtok logokat, amiket egy firewall box-on levo relay modba konfiguralt syslog-ng-vel tovabbitok egy tavoli syslog-ng szerverbe, ami egy blackesk alapu elasticsearch/syslog-ng/kibana kombo resze.

Szeretnem, ha kibana-ban jol lehetne filterezni a forras host-rol kuldott logokat (ami persze nem csak sima syslog, hanem container logok is) de mire eler a log a kibana-ba, mar be van csomagolva egy MESSAGE mezobe, parse-olatlanul.

Amit szeretnek elerni, hogy a forras host-rol kuldott (es kesobb mar MESSAGE mezobe csomogolt) logokban talalhato key value parok alapjan is lehessen konnyen filterezni kibanaban.

Ehhez gondolom valami parse-olas kellene valahol syslog oldalon ebben a lancolatban, ill. esetleg ingest pipeline-okat is kene konfiguralni elastic oldalon, de nem latom tisztán, mit hol kene reszelni, hogy jo legyen.

Barmilyen tippet szivesen fogadok!

Sziasztok!

NginX-nek lehet valahol megani hogy melyik IPn figyeljen, vagy milyen interface-en?

Alapbol netstat 0.0.0.0:80 at hozza, es ezt szeretnem valahogy modositani egy publikus IP-re, mert a gepnek tobb halozati elerese is van ahol nem kell, hogy figyeljen.

Koszonom a segitseget

A következő problémával fordulok hozzátok.

Adott a következő hálózati felépítés:
 

                                                                      +--------------------+
+------------+                                    +---------+         |                    |
|            |                                    |         |         |  Machine 1         |
|            |                                    |         |    /-----                    |
|            |         +--------------------+     |         -----     |                    |
|            |         |                    |     |         |         +--------------------+
|            |         |     Router         |     |         |                               
|    LAN2    |    /-----                    -------  LAN1   |                               
|            -----     |                    |     |         |         +--------------------+
|            |         +--------------------+     |         |         |                    |
|            |                                    |        ------     | Machine n          |
|            |                                    |         |    \-----                    |
|            |                                    |         |         |                    |
|            |                                    +----|----+         +--------------------+
+------------+                                         |                                    
                                                       |                                    
                                         -             |              +--------------------+
                                                       |              |                    |
                                                       |              | net-infra          |
                                                       +---------------                    |
                                                                      |                    |
                                                                      +--------------------+

A probléma pedig az, hogy a LAN1 -en dinamikusan megjelenő kliensek (Machine1 - Machine n) elérhetőek legyenek LAN2 felől, úgy hogy Router NAT -ol LAN1 -ről LAN2 -re. LAN1 és LAN2 privát IP címeket használ.

További adatok:

• Router valójában egy Proxmox host.
• Machine 1...n pedig Proxmox VM -ek és konténerek.
• LAN1 egy "virtuális" hálózat, csak a Proxmox host -on létezik. (Egy nem bridge -elt network ifc.)
• LAN2 irodai lokális háló, rajta egy tucat kliens (notebook, etc.). Vannak kliensek akik LAN2 -re VPN -en jutnak el.
• net-infra: allways on CT ami a DHCP -t és DNS -t adja LAN1 -nek. (alpine + dnsmasq)
• Sajnos a NAT kötelező LAN2 korlátozásai miatt. (Csak engedélyezett MAC lehet rajta.)
• Mind LA1 és LAN2 megbízható. Nem elsődleges cél a biztonság (nyilván publikus szerver ne legyen a megoldásban).

Amit próbáltam, illetve ötletek:

• Fellőni egy VPN szervert -t net-infra -n. Ez kapna egy statikus port forward -ot. Így LAN2 felől VPN csatlakozás után az összes Machine elérhető. Itt a LAN2 -es kliensek konfigja a probléma. Nem biztos, hogy IT örülne a VPN kliensek telepítésének. Továbbá egy sor kliens dupla VPN -en kellene csatlakozzon.
• UPNP-IGD szerver Router -en, + upnpc a Machine -eken. Sajnos az egyetlen épkézláb Linux -os szerver (MiniUPNP) szűri a privát IP címeket, és nem hajlandó portot nyitni. Megfoltozhatnám a kódot, de ha lehet ezt egyelőre nem tenném. Hátrány, hogy az upnpc minden Machine számára kötelező a minimális SSH eléréshez is.
• Valami SSH alapú megoldás. Router -en futna egy korlátozott parancshalmazra limitált SSH szerver. A kliensek itt adnának ki port open parancsokat.
• Az előző SSH -s megoldás, de a port nyitást "net-infra" kezdeményezné amennyiben a dnsmasq szkriptelhető ennyire. Ennek előnye, hogy a Machine -oknak nem kell spéci konfig.
• LXC hook Router -en. Ez képes lenne CT vagy VM indításnál portot nyitni. Sajnos nem tudja net-infra által kiosztott IP címet. További nyűg, hogy új CT/VM kézi konfigurálást igényel.
• Router -re átteni a DHCP + DNS -t funkciót, és itt szkriptelni a DHCP -t port kezelésre.
• Valami "port knocking" szerver Router -re. Nem néztem még milyen implementációk vannak erre (pl openwrt mit használ?). Arra gondolok amikor valamilyen port -ra érkező kommunikáció hatására a router portforwarding -ot konfigurál.
• [szerk.] NAT nélküli route -olás by PunishR: ez sajnos nem járható út, mert pl. a VPN -es gépek esetén több router -en keresztül kellene route -olni, és ezek konfigját nem tudom állítani. Szóval ez csak LAN2 -re diretbe kötött gépekkel menne static route -esetén, a a dinamikus rout -olás meg tul bonya.

Ki milyen lehetőséget lát a probléma megoldására? Van esetleg valaki aki csinált már ilyet?

[szerk]
Elfelejtettem leírni, hogy nem én vagyok a céges IT :), gyakorlatilag árnyék infrastruktúrát építünk, hogy megönnyítsük a saját életünket (firmware fejlesztők vagyunk). Jelenleg "Router" egy Linux -os szerver, amit többen használunk. A globális konfiggal néha egymás lábára lépünk, így szeretnénk mindenkinek saját játszóteret. Sajnos a gépnek LAN2 felé továbbra is egyszerű workstation -nak kell lennie, csak a belét alakíthatjuk át. Ha az IT -hoz mennék ilyen-olyan igényekkel, először azt kellene elmagyaráznom, miért jó ez, és miért nem dolgozunk máshogyan.
 

Sziasztok!

Srácomtól örököltem egy MacBook Airt 2015-ös évjáratban. Működik még, semmi baja, csak kicsit lassú. Arra gondoltam, hogy teszek rá Linux Mint-et. Sajna nem sikerült elsőre UEFI problémája miatt. Amikor újratelepítettem megint a Mac-et, az után meg már nem mutatja a pendrive-ot amiről indíthatnám az ismételt telepítést.

Van valakinek ötlete vagy leírása, hogyan lehetne megoldani? Sajna én nem találtam

Előre is köszi minden ötletet.

P3nész

Samba 4 roaming szépen megy. Néhány gépet viszont mentesíteni szeretnék.

Lehet ezt így? Pl. gépre célzott GPO?

szaszi

Sziasztok,

tudna nekem ebben a temaban vki vmi utmutatot adni?

Hogyan lehetseges Vault alatt titkos key/value parokat letrehozni, elmenteni, majd Kubernetes podba belovasni?

Koszonom elore a segitseget.

Ardi

Sziasztok!

Abban szeretném a segítségetek kérni, hogy szeretrnék port forwardingot csinálni egy linuxon.

Van egy, nevezzük: "A" Windows alkalmazás szerver szeretné elérni "C" és "D" Windows MS SQL szervereket management studióból.

Viszont be kell építeni egy köztes "port forwarding" linuxot ami egy az egyben továbbítja a kéréseket C és D szerverek felé.

A Linux gép legyen "B" szerver (amúgy Centos7), ebben van egy eth0 két(!) IP címmel. Azt szeretném megoldani, hogy ha A szerver felöl jön kérés a B linux szerver egyik IP címére akkor az forwardingoljon C szerver felé.

Ha pedig A szerver felől jön kérés a linux másik IP címére akkor az forwardingoljon D szerver felé.

IP címekkel szemléltetve:

192.168.1.100 (A szerver) --> 10.10.10.1 (linux eth0 egyik IP) --> 10.100.10.100:1433 (MS SQL server) 

192.168.1.100 (A szerver) --> 10.10.10.2 (linux eth0 másik IP) --> 10.100.10.200:1433 (MS SQL server)

Próbáltam firewall-cmd -vel de csak az egyik IP-re tudtam beállítani.

firewall-cmd --permanent --add-rich-rule 'rule family="ipv4" source address="192.168.1.100" forward-port to-addr="10.100.10.100" to-port="1433" protocol="tcp" port="1433"'

próbáltam IP tables megannyi parancsával de nem akar menni.

20+ órát googliztam, de nem találok megoldást. Tudnátok segíteni? Köszönöm!

Üdvözlet!

Olyan problémába futottam bele, hogy tömeges címekre (>100 db), egyszerre kiküldött levelek fejlécei nincsenek aláírva DKIM által. Ha csak 1 db címzettnek küldöm ki, akkor nincs gond, csak a tömegesen kiküldött leveleknél. Debian 11.4 és Postfix.

Nagyon köszönöm a segítséget!

Sziasztok,

kerlek, segitsetek megfejteni, mi tortenik itt:

Van egy email, legyen nonexistentuser@invitel.hu

Erre kimegy a level, majd visszapattan, hogy nincs ilyen email, a kovetkezo hibauzenettel:

This is the mail system at host fmfwd00.freemail.hu.
I'm sorry to have to inform you that your message could not
be delivered to one or more recipients.
It's attached below.

For further assistance, please send mail to postmaster.
If you do so, please include this problem report.

You can delete your own text from the attached returned message

   The mail system<nonexistentuser@invitel.hu>: host invitel.inmx.digicable.hu[92.249.128.164] said: 550
   Sorry, no mailbox here by that name. (in reply to RCPT TO command)

Namost

host -t mx invitel.hu
invitel.hu mail is handled by 20 invitel.inmx.digicable.hu.
invitel.hu mail is handled by 10 invitel.inmx.digicable.hu.

Az MTA, ami tolunk kikuldi, ezt adja:

exim -bt nonexistentuser@invitel.hu
nonexistentuser@invitel.hu
  router = dnslookup, transport = remote_smtp
  host invitel.inmx.digicable.hu [92.249.128.164] MX=10

Magyarul: 

fmfwd00.freemail.hu nem MX rekordja az invitel.hu -nak

Hogy lehet, hogy ez a host valaszol vissza, HA 

• Nem MX -e az invitel.hu -nak
• Nem relayezi a sajat forgalmunkat

Van valami szupi tool/megoldas, amely a teljes kubernetes cuccot exportalja (workloads, namespaces, configmaps, secrets,...) majd aztan egy masikba importalja?

Lenyegeben migralja a cluster-t egy masikba.