Пара вопросов по замене сервера

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
madmax1969
проходил мимо

Пара вопросов по замене сервера

Непрочитанное сообщение madmax1969 » 2015-10-31 8:57:39

Доброго времени суток.

У нас в конторе встал вопрос о замене серверов-шлюзов в магазинах. На них крутится squid, samba, mpd5, сделана VPN на vtun, ну еще там по мелочи. Все это хозяйство настраивал сам лет шесть назад, теперь взялся переделать на новых компах. Поставаил FreeBSD 9.3, squid-3.5.8_1, samba36-3.6.25_1. После установки появилось два вопроса:

1. Squid не хочет работать в транспорентном режиме. Если прописать проксю в настройках браузера все работает, в транспорентном режиме сквид говорит "Доступ запрещен" и предлагает обратится к администратору. В качестве пакетного фильтра использую PF. Редирект на проксю в правилах стоит, иначе бы сквид не ругался. Гугл говорит что в 9-ой ветки у PF и squid'а есть проблема с прозрачным режимом. Но записи об этом достаточно старые, поэтому хотелось бы у точнить есть ли у кого либо рабочий сервак с 9.3, PF и прозрачным сквидом? На IPFW переходить не хочу, транспорентность по большому счету не принципиальна.

2. На старых машинка крутится samba34-3.4.9, поднят домен. Делал в свое время по статье с этого сайта. Теперь надо перетащить это добро на новые машинки. Достаточно ли будет просто скопироать конфиг smb.conf и файлы из /var/db/samba34 в /var/db/samba на новую машину? Или надо сделать еще чтото?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

snorlov
подполковник
Сообщения: 3929
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Пара вопросов по замене сервера

Непрочитанное сообщение snorlov » 2015-10-31 11:09:28

1. Я не знаю сколько у вас пользователей, у нас в разных местах локальных порядка 10-ти, поскольку каналы теперь широкие то отказались и от контроля за доступом в инет, т.е. мы ушли от фришки в качестве шлюза, из маршрутизаторов выбрали zyxel keenetic, который выдерживает нашу нагрузку...
2. Домен на самбе у вас един или же в каждом магазине свой?

Аватара пользователя
Electronik
капитан
Сообщения: 1593
Зарегистрирован: 2008-11-15 17:32:56
Откуда: Минск
Контактная информация:

Пара вопросов по замене сервера

Непрочитанное сообщение Electronik » 2015-10-31 11:44:32

2. а чего на samba4 перейти не хотите? там уже GPO есть.
Предскажем будущее hw по логам и дампу, снимем сглаз и порчу с рута, поможем придумать пароль(С)
Блог

Гость
проходил мимо

Пара вопросов по замене сервера

Непрочитанное сообщение Гость » 2015-11-02 15:56:39

2 snorlov
1. Кроме задачи раздать инет на компе крутится еще несколько задач. VPN, samba, asterisk, переключение между провайдерами. Плюс к этому определнным сотрудникам разрешено ходить в определенные места. Потому использовать роутер в нашем случае не получится.
2. Домен один, в центральном офисе. В остальных магазинах шлюзы на Самбе является локал мастером. Вот и интересно, можно ли просто скопировать базу или какие то еще движения по преобразованию прейдется совершать.

2 Electronik
Функцанала samba3 как бы хватает. Кроме этого скорее всего формат данных у 3.4 и 3.6 скорее всего не изменился, поэтому и задумался про копирование, а в 4-ой самбе формат могли и поменять.

snorlov
подполковник
Сообщения: 3929
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Пара вопросов по замене сервера

Непрочитанное сообщение snorlov » 2015-11-02 16:26:08

Ну если там и астерикс есть, конечно вопрос отпадает, а вот про самбу... Лучше все=таки 10.2 заюзать с utf'ом в консоли, но вот 3-ки в ней уже нет, у тебя самба в магазинах как bdc или standalone, если станд то лучше ставить 4-ку...

Антоха
рядовой
Сообщения: 33
Зарегистрирован: 2015-09-28 10:50:47

Пара вопросов по замене сервера

Непрочитанное сообщение Антоха » 2015-11-05 16:30:13

По поводу сквида могу сказать, что работает в транспарентном режиме и даже с https без подмены сертификатов по статье http://habrahabr.ru/post/267851/ Правда с OpenSSL очень сильно тупит. Полюбому надо LibreSSL прикручивать.

Гость
проходил мимо

Пара вопросов по замене сервера

Непрочитанное сообщение Гость » 2015-11-10 9:21:23

Я не сомневаюсь в возможностях Сквида, он работает в транспорентом режиме с IPFW. Проблема в том возникает в связке Squid + PF.

ivan__
сержант
Сообщения: 234
Зарегистрирован: 2009-08-11 15:48:32
Откуда: Питер

Пара вопросов по замене сервера

Непрочитанное сообщение ivan__ » 2015-11-10 11:09:30

Надо дать доступ на чтение /dev/pf

Аватара пользователя
wien
сержант
Сообщения: 151
Зарегистрирован: 2014-06-26 18:38:44
Откуда: DafaultCity
Контактная информация:

Пара вопросов по замене сервера

Непрочитанное сообщение wien » 2015-11-11 10:02:49

Покажи squid -v
Убедитсь, что сквид собран с поддержкой прозрачной работы с pf.

Антоха
рядовой
Сообщения: 33
Зарегистрирован: 2015-09-28 10:50:47

Пара вопросов по замене сервера

Непрочитанное сообщение Антоха » 2015-11-11 11:09:31

wien писал(а): Убедитсь, что сквид собран с поддержкой прозрачной работы с pf.
Да, все верно. При конфигурации сквида можно указать связку с ipfw, pf и что-то там еще, еще какой то фаер.

Гость
проходил мимо

Пара вопросов по замене сервера

Непрочитанное сообщение Гость » 2015-11-25 7:27:56

Надо дать доступ на чтение /dev/pf
А как это сделать. На предыдущих сервоках под 7.2 ничего такого не требовалось.
Покажи squid -v
Убедитсь, что сквид собран с поддержкой прозрачной работы с pf.

Код: Выделить всё

 squid -v
Squid Cache: Version 3.5.8
Service Name: squid
configure options:  '--with-default-user=squid' '--bindir=/usr/local/sbin' '--sbindir=/usr/local/sbin' '--datadir=/usr/local/etc/squid' '--libexecdir=/usr/local/libexec/squid' '--localstatedir=/var' '--sysconfdir=/usr/local/etc/squid' '--with-logdir=/var/log/squid' '--with-pidfile=/var/run/squid/squid.pid' '--with-swapdir=/var/squid/cache' '--without-gnutls' '--enable-auth' '--enable-build-info' '--enable-loadable-modules' '--enable-removal-policies=lru heap' '--disable-epoll' '--disable-linux-netfilter' '--disable-linux-tproxy' '--disable-translation' '--disable-arch-native' '--disable-eui' '--disable-cache-digests' '--enable-delay-pools' '--disable-ecap' '--disable-esi' '--enable-follow-x-forwarded-for' '--enable-htcp' '--disable-icap-client' '--disable-icmp' '--enable-ident-lookups' '--disable-ipv6' '--enable-kqueue' '--with-large-files' '--enable-http-violations' '--without-nettle' '--enable-snmp' '--disable-ssl' '--disable-ssl-crtd' '--disable-stacktraces' '--disable-ipf-transparent' '--disable-ipfw-transparent' '--enable-pf-transparent' '--with-nat-devpf' '--disable-forw-via-db' '--enable-wccp' '--enable-wccpv2' '--with-heimdal-krb5=/usr' 'CFLAGS=-I/usr/include -O2 -pipe -fno-strict-aliasing' 'LDFLAGS=-L/usr/lib  -pthread' 'LIBS=-lkrb5 -lgssapi -lgssapi_krb5 ' '--enable-auth-basic=DB SMB_LM MSNT-multi-domain NCSA PAM POP3 RADIUS fake getpwnam NIS' '--enable-auth-digest=file' '--enable-external-acl-helpers=file_userip time_quota unix_group' '--enable-auth-negotiate=kerberos wrapper' '--enable-auth-ntlm=fake smb_lm' '--enable-storeio=ufs aufs diskd' '--enable-disk-io=AIO Blocking IpcIo Mmapped DiskThreads DiskDaemon' '--enable-log-daemon-helpers=file' '--enable-url-rewrite-helpers=fake' '--enable-storeid-rewrite-helpers=file' '--prefix=/usr/local' '--mandir=/usr/local/man' '--infodir=/usr/local/info/' '--build=i386-portbld-freebsd9.3' 'build_alias=i386-portbld-freebsd9.3' 'CC=cc' 'CPPFLAGS=' 'CXX=c++' 'CXXFLAGS=-O2 -pipe -fno-strict-aliasing' 'CPP=cpp' --enable-ltdl-convenience
--enable-pf-transparent - про эту опцию знаю, под 7.2 ее и настройки pf было достаточно для работы.

ivan__
сержант
Сообщения: 234
Зарегистрирован: 2009-08-11 15:48:32
Откуда: Питер

Пара вопросов по замене сервера

Непрочитанное сообщение ivan__ » 2015-11-25 9:20:20

undefined писал(а): А как это сделать. На предыдущих сервоках под 7.2 ничего такого не требовалось.

как-то так

Код: Выделить всё

#chown root:squid /dev/pf 
#chmod g=r /dev/pf
#ll /dev/pf
crw-r-----  1 root  squid  0x3b Sep 15 12:32 /dev/pf