Пока нормально. И да, начальных проблем нет. Но сутра был интересный нюанс... У некоторых сотрудников при попытке подключиться к 1С выдавало ошибку, что мол сервер 1С недоступен, и указывался внешний адрес. В настройках клиента 1С у одних сотрудников был прописан не ip-адрес сервера, а доменное имя сервера - main2. Пинг на main2 тоже резолвил какой-то непонятный внешний адрес. У других столкнувшихся с такой траблой, в настройках 1С был прописан именно ip-адрес сервера, но в настройках сети, ДНС был до этого мною поменян на провайдеровские ДНС. После того как поменял адреса ДНС на адреса наших серверов заработало нормально.
freeBDS-шлюз, периодически не грузятся сайты (err_timed_out)
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
- ефрейтор
- Сообщения: 56
- Зарегистрирован: 2019-12-19 17:26:07
freeBDS-шлюз, периодически не грузятся сайты (err_timed_out)
Доброго времени суток!
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
- прапорщик
- Сообщения: 496
- Зарегистрирован: 2015-05-25 14:36:32
freeBDS-шлюз, периодически не грузятся сайты (err_timed_out)
Отлично!
Все верно. Об этом я и пытался высказать мысль когда написал:
А это:Demis писал(а): ↑2019-12-24 15:43:41Тут важно еще помнить/понимать, что если прописывать на клиентских машинах днс провайдера, то сервер провайдера ничего не знает про Ваш внутренний сервер и другие элементы Вашей сети, и клиенты (устройства) могут не получить нужной информации о внутреннем домене или серверах/устройствах.
Как раз следствие этого. Т.к. днс провайдера по имени "main2" отрезолвил то, что на его сервере встречается под именем "main2".
-
- ефрейтор
- Сообщения: 56
- Зарегистрирован: 2019-12-19 17:26:07
freeBDS-шлюз, периодически не грузятся сайты (err_timed_out)
IPFW, пока решил не трогать вообще. Могла ли быть связана проблема с интернетом с тем, что я блокировал адреса именно с помощью IPFW при том, что безопасностью рулит PF?
И еще хотел спросить по поводу таблицы. Нашел вот такой метод:
т.е. суть вопроса в том, что я могу себе таким образом создать отдельный файл для блокируемых адресов, и просто добавлять их (ареса) в него?Now, in your pf.conf file you have this. In my example I use en1, because that's my WiFi interface. Set that to what ever interface your network comes in on.
table <badhosts> persist file "/etc/badguys1" file "/etc/badguys2"
block on en1 from <badhosts> to any
Now you can add temporary addresses to badguys1. (NOT badhosts, that's a name for the tables)
sudo pfctl -t badguys1 -T add 185.130.5.160
1 table created.
1/1 addresses added.
Although it says 1 table created - it actually adds the ip, not creating a new table. Now if you look in badguys1, you will see the new IP.
sudo pfctl -t badhosts -T show
и есть ли значение в какую часть pf.conf вставлять
Код: Выделить всё
table <badhosts> persist file "/etc/badguys1" file "/etc/badguys2"
block on en1 from <badhosts> to any
-
- прапорщик
- Сообщения: 496
- Зарегистрирован: 2015-05-25 14:36:32
freeBDS-шлюз, периодически не грузятся сайты (err_timed_out)
Они оба элементы безопасности. И да, отвечая на вопрос "проблема с интернетом с тем, что я блокировал адреса" в глобальном смысле - могла. Например, если во внесенные (не важно в ipfw или pf) списки попали ип конкретных сайтов куда идут пользователи. Причем, не забывайте, есть еще "условно а-ля облачные" дела, когда сайт находится за промежуточным (внешним) сервером. Т.е. блокирнов ип "такого облака" может не открываться куча сайтов никак не связанных между собой, кроме того "что сидят за одним облаком". А по поводу добавления правил в pf, надеюсь novik подскажет.
-
- ефрейтор
- Сообщения: 56
- Зарегистрирован: 2019-12-19 17:26:07
freeBDS-шлюз, периодически не грузятся сайты (err_timed_out)
Demis, спасибо большое Вам и всем остальным, кто терпеливо разъяснял и помогал справиться с серверным недугом Но вопросы конечно еще остались. Вот до конца все таки не могу понять зачем нужен сквид на нашем сервере... Какую он вообще роль исполняет? И еще я нашел контакты и попытался связаться с человеком, который работал до меня и устанавливал фряху, (помогать он по сути не захотел), так на мой вопрос по поводу ДНС он высказал свое "ИМХО", что для нашей организации свой ДНС не нужен, и лучше его вообще отключить... И это при том, что ДНС на контроллере домена, и на фряхе настраивал именно он... Но вот сегодняшняя ситуация с 1С дала понять, что свой ДНС таки нужен.
-
- ефрейтор
- Сообщения: 56
- Зарегистрирован: 2019-12-19 17:26:07
freeBDS-шлюз, периодически не грузятся сайты (err_timed_out)
Да, но сайты в итоге грузились, просто периодически с большими задержками, с ошибкой err_timed_out, а было, как я писал ранее, в некоторые дни вообще без проблем. т.е. не систематическая какая-то проблема
-
- прапорщик
- Сообщения: 496
- Зарегистрирован: 2015-05-25 14:36:32
freeBDS-шлюз, периодически не грузятся сайты (err_timed_out)
Это я называю "скАлеоз головного мозга". Почему-то админы частенько забывают про локальную сетку, которая тоже требует своих ресурсов для управления. И в голове у них крутится днс "как глобальная служба", ну т.е. именно та, которая стоит "по взрослому", имеет своих секондари, содержит реальную публичную зону и т.д. и т.п... Почему так происходит - расширенно ответить не могу, это целый трактат писать нуно.
-
- прапорщик
- Сообщения: 496
- Зарегистрирован: 2015-05-25 14:36:32
freeBDS-шлюз, периодически не грузятся сайты (err_timed_out)
Поизучайте именно эти сайты. Откройте их соурс хтмл странички, а также разные jscripts и посмотрите какие сайты эта страничка реально еще грузит (ну там баннеры и прочую ерунду). Отзезолвите имена этих сайтов, посмотрите - не попали-ли они в блокировку. На некоторые можно левую подмену делать ну, т.е., например, в Вашем "1.99" в файл хостс прописать "127.0.0.1 somename.com" (разделитель в юниксе будет TAB). И клиенты будут рады. Только делать это нужно крайне аккуратно. Лучше сначала по-изучайте в сети Интернет как это делается (поищите про баннерорезки). Высказал просто идею. Не факт, что у Вас именно от этого проблемы идут.
-
- прапорщик
- Сообщения: 496
- Зарегистрирован: 2015-05-25 14:36:32
freeBDS-шлюз, периодически не грузятся сайты (err_timed_out)
Вообще-то тут надо главное спасибо сказать:
Он сразу достаточно точно поставил вопрос...
-
- подполковник
- Сообщения: 3929
- Зарегистрирован: 2008-09-04 11:51:25
- Откуда: Санкт-Петербург
freeBDS-шлюз, периодически не грузятся сайты (err_timed_out)
Пакеты бегали по вашему роутеру: передавались из одного файера в другой, с одного интерфейса на другой, снова в файеры, там могли динамически измениться, и все это по несколько раз, вот и был резеультат...
Я считаю на самом деле в чистом виде на роутере и файер не нужен, если у вас кроме почты и ната больше ничего на внешке не крутиться...
- novik
- мл. сержант
- Сообщения: 146
- Зарегистрирован: 2018-07-26 23:52:57
freeBDS-шлюз, периодически не грузятся сайты (err_timed_out)
Да. Или прямо так, без файла добавлять, скриптом например. Это как вам удобнее, главное что бы таблица была объявлена и не содержала слова const.
Задавать таблицу нужно в начале, а правило блокировки срабатывает последнее подходящее. Так что лучше сразу после
Код: Выделить всё
block in log all
Код: Выделить всё
block drop in log quick on $ext_if from <badhosts> to any
«О сколько нам открытий чудных готовит просвещения дух...»™
-
- ефрейтор
- Сообщения: 56
- Зарегистрирован: 2019-12-19 17:26:07
freeBDS-шлюз, периодически не грузятся сайты (err_timed_out)
На счет фаервола посмею с вами не согласиться. У нас на шлюзе проброшены порты на внутренний сервер 1С для доступа к вебке 1С, и для доступа к серверу 1С по RDP. Некоторым сотрудникам нужен именно RDP, поскольку лицензионные ключи (флешки) подключены к серверу. И почему возникла необходимость банить внешние адреса, потому что "злоумышленники", назовем их так ломились через наш шлюз на порты вебки и PDP. Вебка ужасно тормозила, удаленных сотрудников и контрагентов постоянно выкидывало, а по RDP вообще не возможно было подключиться даже из локальной сети. Возможно, вернее, скорее всего, существует набор правил для PF, который может отсекать такие атаки, но я с PF еще не до конца разобрался. Если знаете, какие именно правила нужно прописать, подскажите, или пните меня ногой в нужную сторону Я даже затрудняюсь ответить были ли это DDoS атаки, либо какие-то другие виды атак...
- novik
- мл. сержант
- Сообщения: 146
- Зарегистрирован: 2018-07-26 23:52:57
freeBDS-шлюз, периодически не грузятся сайты (err_timed_out)
Squid задаёт правила по которым пользователи пользуются интернетом. Кому, по каким портам, в какое время, с какой скоростью и каким образом можно или нельзя соединяться с какими хостами, а так же кэширует (если может) загруженное и проверяет на вирусы (если настроено). А так же ведёт лог, кто куда и когда обращался. Нужно ли вам что-то из этого вы решайте сами.
«О сколько нам открытий чудных готовит просвещения дух...»™
- novik
- мл. сержант
- Сообщения: 146
- Зарегистрирован: 2018-07-26 23:52:57
freeBDS-шлюз, периодически не грузятся сайты (err_timed_out)
Может тогда наоборот? Белый список?
Код: Выделить всё
block drop in log quick on $ext_if from !<good> to any port $tcp_services
«О сколько нам открытий чудных готовит просвещения дух...»™
-
- ефрейтор
- Сообщения: 56
- Зарегистрирован: 2019-12-19 17:26:07
freeBDS-шлюз, периодически не грузятся сайты (err_timed_out)
Да, но не факт, что у контрагентов статические внешние адреса. И насколько мне известно? некоторые работают с ноутбуков, там где подключатся к Wi-fi. Они подключиться не смогут, а по шапке получать в итоге буду я Да и у сотрудников дома тоже не статические адреса... С белым списком еще труднее поучится.
- novik
- мл. сержант
- Сообщения: 146
- Зарегистрирован: 2018-07-26 23:52:57
freeBDS-шлюз, периодически не грузятся сайты (err_timed_out)
oleg_max, попробуйте так.
«О сколько нам открытий чудных готовит просвещения дух...»™
-
- прапорщик
- Сообщения: 496
- Зарегистрирован: 2015-05-25 14:36:32
freeBDS-шлюз, периодически не грузятся сайты (err_timed_out)
Да, только если ТС сделает:как там написано, то рискует не собрать порт.
Да и без обновки, кстати тоже есть риск. Версия-то у него 9.3...
Код: Выделить всё
portsnap fetch update
Да и без обновки, кстати тоже есть риск. Версия-то у него 9.3...
-
- подполковник
- Сообщения: 3929
- Зарегистрирован: 2008-09-04 11:51:25
- Откуда: Санкт-Петербург
freeBDS-шлюз, периодически не грузятся сайты (err_timed_out)
А вот для этих случаев существует волшебное слово vpn, конечно потребуется от удаленных сотрудников некоторые усилия, но это гораздо лучше чем выставлять rdp наружу, поскольку проброс на стандартный порт rdp, это почти без защиты... Поэтому туда и ломятся...oleg_max писал(а): ↑2019-12-26 16:01:23На счет фаервола посмею с вами не согласиться. У нас на шлюзе проброшены порты на внутренний сервер 1С для доступа к вебке 1С, и для доступа к серверу 1С по RDP. Некоторым сотрудникам нужен именно RDP, поскольку лицензионные ключи (флешки) подключены к серверу. И почему возникла необходимость банить внешние адреса, потому что "злоумышленники", назовем их так ломились через наш шлюз на порты вебки и PDP. Вебка ужасно тормозила, удаленных сотрудников и контрагентов постоянно выкидывало, а по RDP вообще не возможно было подключиться даже из локальной сети. Возможно, вернее, скорее всего, существует набор правил для PF, который может отсекать такие атаки, но я с PF еще не до конца разобрался. Если знаете, какие именно правила нужно прописать, подскажите, или пните меня ногой в нужную сторону
На контроллерах AD в dns'e должна быть прописана как прямая так и обратные зоны с возмоожностью безопасного обновления записей, вы потом в эти зоны можете ручками добавить необходимые записи, ведь что происходит у клиента, есть глобальный префикс, например сетка.нет.локал, по умолчанию стоит галка дописывать суффиксы, вот когда вы говорите хочу узнать сервер main, то сначала ищется main.сетка.нет.локал, затем main.нет.локал ну и т.д., и только в конце идет широковещательный запрос по сети, а если вообще прописать у клиентов левый dns, то вход в АД ну уж очень долгий,.
Я в качестве сервера vpn юзаю mpd, но это вам на будущее, не сейчас.
теперь по поводу сквида, он позволяет получать статистику использования инета, ограничивать клиентам скорость согласно правилам, давать им доступ, устанавливать квоты для пользователей, типа ген.дир. может когда и куда и сколько хочет, а вот уборщика только с 9 до 10 и не больше 10 метров в день да и то только яндекс.. В эпоху когда скорость была в 1м это было очень актуально...
-
- ефрейтор
- Сообщения: 56
- Зарегистрирован: 2019-12-19 17:26:07
freeBDS-шлюз, периодически не грузятся сайты (err_timed_out)
Доброго времени суток!
Система отругалась с перечнем ошибок, и естественно ничего не установилось. На что именно ругалось уже не помню. Попробовал поставить через
Система проверила зависимости, и предложила мне скачать 1,5 Гб дополнительных пакетов и желание ее устанавливать у меня пропало...
У меня такое подозрение, что до меня уже кто-то попытался это сделать. Потому что хотел установить из портов утилиту "mtr" -
Код: Выделить всё
make install clean
Код: Выделить всё
pkg install mtr
- novik
- мл. сержант
- Сообщения: 146
- Зарегистрирован: 2018-07-26 23:52:57
freeBDS-шлюз, периодически не грузятся сайты (err_timed_out)
oleg_max, вам бы стоило задуматься о переезде на 11.3. Установить её куда-нибудь полностью с нуля, установить нужные пакеты, всё настроить, протестировать, сдеалать резервную копию с 9.3 и перенести 11.3 (можно для уверенности сначала куда-то ещё, а потом и) туда где раньше была 9.3.
«О сколько нам открытий чудных готовит просвещения дух...»™
- novik
- мл. сержант
- Сообщения: 146
- Зарегистрирован: 2018-07-26 23:52:57
freeBDS-шлюз, периодически не грузятся сайты (err_timed_out)
«О сколько нам открытий чудных готовит просвещения дух...»™
-
- ефрейтор
- Сообщения: 56
- Зарегистрирован: 2019-12-19 17:26:07
freeBDS-шлюз, периодически не грузятся сайты (err_timed_out)
Идея конечно хорошая! Но боюсь, что за не имением достаточного опыта, грамотно перенести не смогу... Тем более, что не могу понять как на данный момент настроены винчестеры (их два) на которых установлена система. В биосе я не увидел чтобы был включен RAID, но когда стартует фря вижу, что она включает "зеркало".
Пытался установить именно mtr. командой, которую привел ранее - pkg install mtr.
-
- ефрейтор
- Сообщения: 56
- Зарегистрирован: 2019-12-19 17:26:07
freeBDS-шлюз, периодически не грузятся сайты (err_timed_out)
Еще забыл спросить про про периодическую ошибку named-а. Примерно раз в пару часов в консоль выводится ошибка -
А в /var/log/messages -
Код: Выделить всё
Dec 28 11:27:42 gatew named[1535]: could not listen on UDP socket: permission denied
Dec 28 11:27:42 gatew named[1535]: creating IPv4 interface tun0 failed; interface ignored
Код: Выделить всё
Dec 28 11:27:42 gatew named[1535]: could not listen on UDP socket: permission denied
Dec 28 11:27:42 gatew named[1535]: creating IPv4 interface tun0 failed; interface ignored
Dec 28 11:28:42 gatew named[1535]: DNS format error from 8.8.8.8#53 resolving ns-os1.qq.com/AAAA: Name qq.com (SOA) not subdomain of zone ns-os1.qq.com -- invalid response
Dec 28 11:28:45 gatew named[1535]: DNS format error from 123.151.66.83#53 resolving ns-os1.qq.com/AAAA: Name qq.com (SOA) not subdomain of zone ns-os1.qq.com -- invalid response
Dec 28 11:28:45 gatew named[1535]: DNS format error from 58.251.103.109#53 resolving ns-os1.qq.com/AAAA: Name qq.com (SOA) not subdomain of zone ns-os1.qq.com -- invalid response
Dec 28 11:28:45 gatew named[1535]: DNS format error from 182.254.52.55#53 resolving ns-os1.qq.com/AAAA: Name qq.com (SOA) not subdomain of zone ns-os1.qq.com -- invalid response
Dec 28 11:28:45 gatew named[1535]: DNS format error from 183.2.186.153#53 resolving ns-os1.qq.com/AAAA: Name qq.com (SOA) not subdomain of zone ns-os1.qq.com -- invalid response
Dec 28 11:28:46 gatew named[1535]: DNS format error from 111.161.107.195#53 resolving ns-os1.qq.com/AAAA: Name qq.com (SOA) not subdomain of zone ns-os1.qq.com -- invalid response
-
- подполковник
- Сообщения: 3929
- Зарегистрирован: 2008-09-04 11:51:25
- Откуда: Санкт-Петербург
freeBDS-шлюз, периодически не грузятся сайты (err_timed_out)
У вас ppp наверняка перестартовывает, а named в это время пытается что-то разрешить, а интерфейса то нету, ну а остальное... кто-то у вас пытается разрешить имя в домене ns-os1.qq.com, а такого домена и нет... На тему первого, изучите скрипты pppdown/pppup, и в ставьте туда остановку/запуск named, либо проигнорируйте, ну а с учетом, что qq.com это китай ничего сказать не могу, разве только, что в конфигурацию добавить опции для более детального лога, тогда можно отследить кто пытается делать эти запросы... Ну а про UDP все понятно, искать надо в файерах, может запрещены все udp, может запрещен udp на 53 порту... В общем напрягайте извилины...
-
- ефрейтор
- Сообщения: 56
- Зарегистрирован: 2019-12-19 17:26:07
freeBDS-шлюз, периодически не грузятся сайты (err_timed_out)
По поводу ppp, пересмотрел логи, не перестартовывает. До указанного времени, в указанное, и после ррр не падал.
подскажите, пожалуйста, какие именно опции необходимо добавить?