Доброго всем времени суток.

Установил из пакетов на FreeBSD 4 Samba server 4.11
В сетевом окружении на виндовс- машинах он виден, но вот при попытки зайти Windows выкидывает сообщение:
У вас якобы нет прав доступа и ругается что дополнительные подключения невозможны, потому что число подключений достигло предела.

При том что логи все пустые.

мой базовый конфиг

[global]
        dos charset = cp866
        server role = standalone
        security = user
        map to guest = Bad Password
        max log size = 500
        server string = Samba Server
        workgroup = STM
        socket options = TCP_NODELAY
        log file = /var/log/samba4/log.%m
        os level = 1

Заранее буду благодарен за подсказку где искать проблему.

Доброго времени суток, Подскажите пжлста, в какую сторону копать по вот этому логу.
May 28 09:45:30 mail postfix/postscreen[39860]: CONNECT from [81.177.99.17]:41824 to [10.24.2.50]:25
May 28 09:45:36 mail postfix/postscreen[39860]: PASS OLD [81.177.99.17]:41824
May 28 09:45:36 mail postfix/smtpd[39861]: warning: hostname mail.is-mis.ru does not resolve to address 81.177.99.17: Name or service not known
May 28 09:45:36 mail postfix/smtpd[39861]: connect from unknown[81.177.99.17]
May 28 09:45:36 mail postfix/smtpd[39861]: NOQUEUE: reject: RCPT from unknown[81.177.99.17]: 450 4.7.1 <mail.is-mis.ru>: Helo command rejected: Host not found; from=<rmis-admin@is-mis.ru> to=<demyanova@dob.kaluga.ru> proto=ESMTP helo=<mail.is-mis.ru>
May 28 09:45:36 mail postfix/smtpd[39861]: disconnect from unknown[81.177.99.17]
May 28 09:46:36 mail postfix/postscreen[39860]: CONNECT from [81.177.99.17]:41826 to [10.24.2.50]:25
May 28 09:46:36 mail postfix/postscreen[39860]: PASS OLD [81.177.99.17]:41826
May 28 09:46:36 mail postfix/smtpd[39861]: warning: hostname mail.is-mis.ru does not resolve to address 81.177.99.17: Name or service not known
May 28 09:46:36 mail postfix/smtpd[39861]: connect from unknown[81.177.99.17]
May 28 09:46:36 mail postfix/smtpd[39861]: NOQUEUE: reject: RCPT from unknown[81.177.99.17]: 450 4.7.1 <mail.is-mis.ru>: Helo command rejected: Host not found; from=<rmis-admin@is-mis.ru> to=<demyanova@dob.kaluga.ru> proto=ESMTP helo=<mail.is-mis.ru>
May 28 09:46:36 mail postfix/smtpd[39861]: disconnect from unknown[81.177.99.17]

Добрый день!

Подскажите, пожалуйста, как настроить exim, чтобы эти сообщени
не записывались в лог exim-а?

2021-05-28 08:30:55.085 [1315523] cwd=/ 2 args: /usr/sbin/exim -bpc
2021-05-28 08:31:54.164 [1315548] cwd=/ 2 args: /usr/sbin/exim -bpc
2021-05-28 08:32:54.471 [1315573] cwd=/ 2 args: /usr/sbin/exim -bpc
2021-05-28 08:33:54.793 [1315597] cwd=/ 2 args: /usr/sbin/exim -bpc
2021-05-28 08:34:54.258 [1315621] cwd=/ 2 args: /usr/sbin/exim -bpc

Короче команды exim-а выполненные в shell-е не записывать в лог.

Заранее спасибо. Борис.

Здравствуйте!

Нужно подключиться к удаленному ресурсу через IPSec туннель.
Есть компьютер с установленной PFSense, создал туннель (Routed VTI):

Удаленный пир - 10.179.10.10
локальная подсеть - 10.209.10.10/29
удаленная подсеть - 10.176.40.0/24

туннель создался, ошибок нет.

Потом назначил интерфейс к созданному туннелю - OPT2 и включил его.

В файерволе IPSec разрешил все протоколы.

Могу пропинговать с машины с PFSense с интерфейса OPT2 ресурсы в удаленной сети.

Теперь добавляю статический маршрут - 10.176.40.0 -> OPT2_VTIV4-10.179.10.10

Но из локальной сети (и любых других интерфейсов кроме OPT2 на PFSense) не могу пропинговать ничего в удаленной подсети...

В файрволе в IPSec счетчики по нулям.

Подскажите кто настраивал такое, что еще нужно для корректной работы?

Проблема - после удаления писем из почтового ящика на postfix не увеличивается место на диске.

Freebsd 12.0-RELEASE-p3

Удалил письма в почтовом ящике (настройкой mboxconfig user/log@XXXXX.ru expire 30), по lq user/log@XXXXX.ru уменьшился на 100 Гб, а свободное место на диске не увеличилось. Куда копать?

Добрый день!

Подскажите, пожалуйста, правильно ли здесь настроен роутер для
переотправки всей исходящей почты от user@domain.com на хост 192.168.1.14

Установлен exim на Oracle Linux 8.

router_alt:
  driver = manualroute
  transport = remote_smtp
  senders = user@domain.com
  host_find_failed = pass
  route_list = * 192.168.1.14
  no_more
  
Если будут замечания, то буду вам очень благодарен.
  
С уважением, Борис.

Есть проблема на почтовом сервере под freebsd.
Быстро заканчивается память.

При просмотре  ps -axum:

cyrus      352  0.0  0.4  39528 15156  -  I    15:53      0:00.51 imapd: imaps: 110.mcs.mail.ru [WWW.ZZZ.YYY.XXX] user1
cyrus      525  0.0  0.4  39420 14772  -  I    15:55      0:00.58 imapd: imaps: 110.mcs.mail.ru [WWW.ZZZ.YYY.XXX] user2
cyrus      654  0.0  0.4  39968 15872  -  S    15:58      0:06.66 imapd: imaps: 110.mcs.mail.ru [WWW.ZZZ.YYY.XXX] user3
cyrus      891  0.0  0.3  39248 13192  -  I    Sat09      0:22.05 imapd: imaps: picker31.m.smailru.net [WWW.ZZZ.YYY.XXX] user4
cyrus      892  0.0  0.3  39280 13284  -  I    Sat09      0:24.29 imapd: imaps: picker21.m.smailru.net [WWW.ZZZ.YYY.XXX] user5
cyrus      893  0.0  0.3  39556 13440  -  S    Sat09      0:23.66 imapd: imaps: instant44.my.com [WWW.ZZZ.YYY.XXX] user6
cyrus      894  0.0  0.3  39528 13456  -  I    Sat09      0:44.92 imapd: imaps: picker32.m.smailru.net [WWW.ZZZ.YYY.XXX] user7

И так далее, всего более 400 imapd процессов, которые в итоге почти подвешивают систему.
IP и пользователи заменены на YYY и user
Перезагрузка помогает, но ненадолго.
Система досталась "в наследство", в FreeBSD новичок. Подскажите, куда копать?

Добрый день!

В связи с уязвимостью exim, подскажите, пожалуйста, где можно скачать exim самой
последней версии для CentOS 6 версии, в которой этой уязвимости нет?

Заранее благодарен.

Борис.

Доброго времени суток

немогу запустить raid контроллер 9341-8i в proxmox 6.4 (Debian 10.9) в биосе UEFI выключено, так же пробовал ставить Debian 10.9

драйвер последний скачал установил, прошивка контроллера тож актуальная

подскажите где капать

May 4 11:39:45 pve1 kernel: [ 1.654216] megaraid_sas: loading out-of-tree module taints kernel.

May 4 11:39:45 pve1 kernel: [ 1.654809] megaraid_sas 0000:07:00.0: BAR:0x1 BAR’s base_addr(phys):0x0x00000000fcd00000 mapped virt_addr:0x0000000082b0d74c

May 4 11:39:45 pve1 kernel: [ 1.654811] megaraid_sas 0000:07:00.0: FW now in Ready state

May 4 11:39:45 pve1 kernel: [ 1.654813] megaraid_sas 0000:07:00.0: 63 bit DMA mask and 32 bit consistent mask

May 4 11:39:45 pve1 kernel: [ 1.655012] megaraid_sas 0000:07:00.0: firmware supports msix : (96)

May 4 11:39:45 pve1 kernel: [ 1.655573] megaraid_sas 0000:07:00.0: requested/available msix 17/17

May 4 11:39:45 pve1 kernel: [ 1.655573] megaraid_sas 0000:07:00.0: current msix/online cpus : (17/16)

May 4 11:39:45 pve1 kernel: [ 1.655574] megaraid_sas 0000:07:00.0: RDPQ mode : (disabled)

May 4 11:39:45 pve1 kernel: [ 1.655578] megaraid_sas 0000:07:00.0: Current firmware supports maximum commands: 272 LDIO threshold: 237

May 4 11:39:45 pve1 kernel: [ 1.655623] megaraid_sas 0000:07:00.0: Configured max firmware commands: 271

May 4 11:39:45 pve1 kernel: [ 1.655778] megaraid_sas 0000:07:00.0: Performance mode :Latency

May 4 11:39:45 pve1 kernel: [ 1.655778] megaraid_sas 0000:07:00.0: FW supports sync cache : Yes

May 4 11:39:45 pve1 kernel: [ 1.655781] megaraid_sas 0000:07:00.0: megasas_disable_intr_fusion is called outbound_intr_mask:0x40000009

May 4 11:39:45 pve1 kernel: [ 1.677080] megaraid_sas 0000:07:00.0: Init cmd return status FAILED for SCSI host 5

May 4 11:39:45 pve1 kernel: [ 1.677661] megaraid_sas 0000:07:00.0: Failed from megasas_init_fw 6694

Если отправляю со смарта видео файлы *.MP4, *.MOV,*.HEIC, то
после завершения передачи они удаляются. Когда передаю фотки, то всё нормально.

Вот лог при передаче видео.

...
...
smb2: fnum 2771293725, file camvideo_408844ac.MP4, length=65536 offset=0 wrote=65536
smb2: fnum 2771293725, file camvideo_408844ac.MP4, length=65536 offset=0 wrote=65536
smb2: fnum 2771293725, file camvideo_408844ac.MP4, length=65536 offset=0 wrote=65536
smb2: fnum 2771293725, file camvideo_408844ac.MP4, length=65536 offset=0 wrote=65536
smb2: fnum 2771293725, file camvideo_408844ac.MP4, length=46489 offset=0 wrote=46489
root closed file camvideo_408844ac.MP4 (numopen=0) NT_STATUS_OK
creating new dirptr 0 for path ., expect_close = 0
smbd_dirptr_get_entry mask=[camvideo_408844ac.MP4] found camvideo_408844ac.MP4 fname=camvideo_408844ac.MP4 (camvideo_408844ac.MP4)
creating new dirptr 0 for path ., expect_close = 0
smbd_dirptr_get_entry mask=[camvideo_408844ac.MP4] found camvideo_408844ac.MP4 fname=camvideo_408844ac.MP4 (camvideo_408844ac.MP4)
root opened file camvideo_408844ac.MP4 read=No write=No (numopen=1)
root closed file camvideo_408844ac.MP4 (numopen=0) NT_STATUS_OK
creating new dirptr 0 for path ., expect_close = 0
smbd_dirptr_get_entry mask=[camvideo_408844ac.MP4] found camvideo_408844ac.MP4 fname=camvideo_408844ac.MP4 (camvideo_408844ac.MP4)
smbd_do_qfsinfo: level = 1003
creating new dirptr 0 for path ., expect_close = 0
smbd_dirptr_get_entry mask=[camvideo_408844ac.MP4] found camvideo_408844ac.MP4 fname=camvideo_408844ac.MP4 (camvideo_408844ac.MP4)
root opened file camvideo_408844ac.MP4 read=Yes write=No (numopen=1)
root opened file camvideo_408844ac.MP4 read=No write=No (numopen=2)
root closed file camvideo_408844ac.MP4 (numopen=1) NT_STATUS_OK
smbd_smb2_request_error_ex: smbd_smb2_request_error_ex: idx[1] status[NT_STATUS_OBJECT_NAME_NOT_FOUND] || at ../source3/smbd/smb2_create.c:296
smbd_smb2_request_error_ex: smbd_smb2_request_error_ex: idx[5] status[NT_STATUS_FILE_CLOSED] || at ../source3/smbd/smb2_server.c:2599
smbd_smb2_request_error_ex: smbd_smb2_request_error_ex: idx[9] status[NT_STATUS_FILE_CLOSED] || at ../source3/smbd/smb2_server.c:2599
creating new dirptr 0 for path ., expect_close = 0
smbd_smb2_request_error_ex: smbd_smb2_request_error_ex: idx[5] status[NT_STATUS_NO_SUCH_FILE] || at ../source3/smbd/smb2_query_directory.c:158
root opened file camvideo_408844ac.MP4 read=No write=No (numopen=2)
smbd_do_setfilepathinfo: camvideo_408844ac.MP4 (fnum 3692989460) info_level=65290 totdata=60
rename_internals_fsp: succeeded doing rename on camvideo_408844ac.MP4 -> .nfs.20051031.00f7
root closed file .nfs.20051031.00f7 (numopen=1) NT_STATUS_OK
creating new dirptr 0 for path ., expect_close = 0
smbd_dirptr_get_entry mask=[.nfs.20051031.00f7] found .nfs.20051031.00f7 fname=.nfs.20051031.00f7 (.nfs.20051031.00f7)
root closed file .nfs.20051031.00f7 (numopen=0) NT_STATUS_OK
creating new dirptr 0 for path ., expect_close = 0
smbd_dirptr_get_entry mask=[.nfs.20051031.00f7] found .nfs.20051031.00f7 fname=.nfs.20051031.00f7 (.nfs.20051031.00f7)
root opened file .nfs.20051031.00f7 read=No write=No (numopen=1)
smbd_do_setfilepathinfo: .nfs.20051031.00f7 (fnum 2787744222) info_level=1013 totdata=1
root closed file .nfs.20051031.00f7 (numopen=0) NT_STATUS_OK

Фотка

smb2: fnum 3022153035, file IMG_4583.jpg, length=65536 offset=0 wrote=65536
smb2: fnum 3022153035, file IMG_4583.jpg, length=26433 offset=0 wrote=26433
smb2: fnum 3022153035, file IMG_4583.jpg, length=65536 offset=0 wrote=65536
root closed file IMG_4583.jpg (numopen=0) NT_STATUS_OK
creating new dirptr 0 for path ., expect_close = 0
smbd_dirptr_get_entry mask=[IMG_4583.jpg] found IMG_4583.jpg fname=IMG_4583.jpg (IMG_4583.jpg)
creating new dirptr 0 for path ., expect_close = 0
smbd_dirptr_get_entry mask=[IMG_4583.jpg] found IMG_4583.jpg fname=IMG_4583.jpg (IMG_4583.jpg)
creating new dirptr 0 for path ., expect_close = 0
smbd_dirptr_get_entry mask=[IMG_4583.jpg] found IMG_4583.jpg fname=IMG_4583.jpg (IMG_4583.jpg)
smbd_do_qfsinfo: level = 1003
creating new dirptr 0 for path ., expect_close = 0
smbd_dirptr_get_entry mask=[IMG_4583.jpg] found IMG_4583.jpg fname=IMG_4583.jpg (IMG_4583.jpg)
root opened file IMG_4583.jpg read=Yes write=No (numopen=1)
root opened file IMG_4583.jpg read=No write=No (numopen=2)
root closed file IMG_4583.jpg (numopen=1) NT_STATUS_OK
creating new dirptr 0 for path ., expect_close = 0
smbd_dirptr_get_entry mask=[IMG_4583.jpg] found IMG_4583.jpg fname=IMG_4583.jpg (IMG_4583.jpg)
root opened file IMG_4583.jpg read=No write=Yes (numopen=2)
smbd_do_setfilepathinfo: IMG_4583.jpg (fnum 2414260208) info_level=1004 totdata=40
root closed file IMG_4583.jpg (numopen=1) NT_STATUS_OK
creating new dirptr 0 for path ., expect_close = 0
smbd_dirptr_get_entry mask=[IMG_4583.jpg] found IMG_4583.jpg fname=IMG_4583.jpg (IMG_4583.jpg)
creating new dirptr 0 for path ., expect_close = 0
smbd_dirptr_get_entry mask=[IMG_4583.jpg] found IMG_4583.jpg fname=IMG_4583.jpg (IMG_4583.jpg)
creating new dirptr 0 for path ., expect_close = 0
smbd_dirptr_get_entry mask=[IMG_4583.jpg] found IMG_4583.jpg fname=IMG_4583.jpg (IMG_4583.jpg)
creating new dirptr 0 for path ., expect_close = 0
smbd_dirptr_get_entry mask=[IMG_4583.jpg] found IMG_4583.jpg fname=IMG_4583.jpg (IMG_4583.jpg)
creating new dirptr 0 for path ., expect_close = 0
smbd_dirptr_get_entry mask=[IMG_4583.jpg] found IMG_4583.jpg fname=IMG_4583.jpg (IMG_4583.jpg)
creating new dirptr 0 for path ., expect_close = 0
smbd_dirptr_get_entry mask=[IMG_4583.jpg] found IMG_4583.jpg fname=IMG_4583.jpg (IMG_4583.jpg)
root opened file IMG_4583.jpg read=Yes write=Yes (numopen=2)
smbd_smb2_request_error_ex: smbd_smb2_request_error_ex: idx[1] status[NT_STATUS_OBJECT_NAME_NOT_FOUND] || at ../source3/smbd/smb2_create.c:296
smbd_smb2_request_error_ex: smbd_smb2_request_error_ex: idx[5] status[NT_STATUS_FILE_CLOSED] || at ../source3/smbd/smb2_server.c:2599
smbd_smb2_request_error_ex: smbd_smb2_request_error_ex: idx[9] status[NT_STATUS_FILE_CLOSED] || at ../source3/smbd/smb2_server.c:2599
smbd_smb2_request_error_ex: smbd_smb2_request_error_ex: idx[1] status[NT_STATUS_OBJECT_NAME_NOT_FOUND] || at ../source3/smbd/smb2_create.c:296
smbd_smb2_request_error_ex: smbd_smb2_request_error_ex: idx[5] status[NT_STATUS_FILE_CLOSED] || at ../source3/smbd/smb2_server.c:2599
smbd_smb2_request_error_ex: smbd_smb2_request_error_ex: idx[9] status[NT_STATUS_FILE_CLOSED] || at ../source3/smbd/smb2_server.c:2599
root closed file IMG_4583.jpg (numopen=1) NT_STATUS_OK
creating new dirptr 0 for path ., expect_close = 0
smbd_dirptr_get_entry mask=[IMG_4583.jpg] found IMG_4583.jpg fname=IMG_4583.jpg (IMG_4583.jpg)
root opened file IMG_4583.jpg read=Yes write=Yes (numopen=2)
smbd_smb2_request_error_ex: smbd_smb2_request_error_ex: idx[1] status[NT_STATUS_OBJECT_NAME_NOT_FOUND] || at ../source3/smbd/smb2_create.c:296
smbd_smb2_request_error_ex: smbd_smb2_request_error_ex: idx[5] status[NT_STATUS_FILE_CLOSED] || at ../source3/smbd/smb2_server.c:2599
smbd_smb2_request_error_ex: smbd_smb2_request_error_ex: idx[9] status[NT_STATUS_FILE_CLOSED] || at ../source3/smbd/smb2_server.c:2599
root closed file IMG_4583.jpg (numopen=1) NT_STATUS_OK
root closed file IMG_4583.jpg (numopen=0) NT_STATUS_OK
creating new dirptr 0 for path ., expect_close = 0
smbd_dirptr_get_entry mask=[IMG_4583.jpg] found IMG_4583.jpg fname=IMG_4583.jpg (IMG_4583.jpg)

Видосы пытается переименовать в какие-то файлы типа .nfs.20051031.00f7

имеется работающий сервер softether + ISC-DHCP для раздачи адресов и маршрутов клиентам.
Сервер с двумя сетевыми + tap-интерфейс softether:
# ifconfig
bge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=c019b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4,VLAN_HWTSO,LINKSTATE>
        ether 08:02:ef:29:a6:94
        inet xx.xx.xx.xx netmask 0xffffff00 broadcast xx.xx.xx.xx
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
bge1: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=c0099<RXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,VLAN_HWTSO,LINKSTATE>
        ether 08:02:ef:29:a6:95
        inet 10.0.9.3 netmask 0xff000000 broadcast 10.255.255.255
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        options=680003<RXCSUM,TXCSUM,LINKSTATE,RXCSUM_IPV6,TXCSUM_IPV6>
        inet 127.0.0.1 netmask 0xff000000
        groups: lo
        nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
ue0: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
        ether 0a:94:ef:29:e6:9b
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
pflog0: flags=141<UP,RUNNING,PROMISC> metric 0 mtu 33160
        groups: pflog
tap_vpn: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=80000<LINKSTATE>
        ether 5e:ac:ef:ce:9b:60
        hwaddr 58:96:fc:10:11:09
        inet 172.16.0.1 netmask 0xffff0000 broadcast 172.16.255.255
        groups: tap
        media: Ethernet autoselect
        status: active
        nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
        Opened by PID 1281

DHCP сконфигурирован следующим образом:

# less /etc/rc.conf| grep dhcp
dhcpd_enable="YES"
dhcpd_flags="-4"
dhcpd_conf="/usr/local/etc/dhcpd.conf"
dhcpd_ifaces="tap_vpn bge1"

# less /usr/local/etc/dhcpd.conf
ddns-update-style none;
log-facility local7;

option ms-static-routes code 249 = array of unsigned integer 8;
option rfc-static-routes code 121 = array of unsigned integer 8;

subnet 172.16.0.0 netmask 255.255.0.0 {
  authoritative;
  range 172.16.0.10 172.16.255.254;
  option domain-name-servers 10.0.1.2, 10.0.1.4;
  option netbios-node-type 8;
  option routers 172.16.0.1;
  option broadcast-address 172.16.255.255;
  option ms-static-routes 8,10, 172,16,0,1, 24,192,168,30, 172,16,0,1;
  option rfc-static-routes 8,10, 172,16,0,1, 24,192,168,30, 172,16,0,1;
  default-lease-time 600;
  max-lease-time 7200;
}

Это работает, клиент по vpn подключается, получает адрес из сети 172.16.0.0 и маршруты для 10.0.0.0/8 и 192.168.30.0/24:

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.1.1    192.168.1.216   4250
          0.0.0.0          0.0.0.0         On-link       172.16.0.20     26
         10.0.0.0        255.0.0.0         On-link       172.16.0.20     26
   10.255.255.255  255.255.255.255         On-link       172.16.0.20    281
        127.0.0.0        255.0.0.0         On-link         127.0.0.1   4556
        127.0.0.1  255.255.255.255         On-link         127.0.0.1   4556
  127.255.255.255  255.255.255.255         On-link         127.0.0.1   4556
       172.16.0.0      255.255.0.0         On-link       172.16.0.20     26
      172.16.0.20  255.255.255.255         On-link       172.16.0.20    281
   172.16.255.255  255.255.255.255         On-link       172.16.0.20    281
      192.168.1.0    255.255.255.0         On-link     192.168.1.216   4506
    192.168.1.216  255.255.255.255         On-link     192.168.1.216   4506
    192.168.1.255  255.255.255.255         On-link     192.168.1.216   4506
     192.168.30.0    255.255.255.0         On-link       172.16.0.20     26
   192.168.30.255  255.255.255.255         On-link       172.16.0.20    281
        224.0.0.0        240.0.0.0         On-link         127.0.0.1   4556
        224.0.0.0        240.0.0.0         On-link     192.168.1.216   4506
        224.0.0.0        240.0.0.0         On-link       172.16.0.20     26
  255.255.255.255  255.255.255.255         On-link         127.0.0.1   4556
  255.255.255.255  255.255.255.255         On-link     192.168.1.216   4506
  255.255.255.255  255.255.255.255         On-link       172.16.0.20    281
===========================================================================

Но с недавних пор группа товарищей кровь из носу захотела получать адреса непременно из внутренней сети 10.0.9.х. Дописал в конфиг dhcp subnet по аналогии

subnet 10.0.9.0 netmask 255.255.255.0 {
  authoritative;
  range 10.0.9.240 10.0.9.254;
  option domain-name-servers 10.0.1.2, 10.0.1.4;
  option netbios-node-type 8;
  option routers 10.0.9.1;
  option broadcast-address 10.0.9.255;
  option ms-static-routes  24,192,168,30, 10,0,9,1;
  option rfc-static-routes 24,192,168,30, 10,0,9,1;
  default-lease-time 600;
  max-lease-time 7200;
}

В softether, соответственно, добавил второй бридж к внутренней сетевой карте bge1

VPN Server/HUB0-LOCAL>BridgeList
BridgeList command - Get List of Local Bridge Connection
Number|Virtual Hub Name|Network Adapter or Tap Device Name|Status
------+----------------+----------------------------------+---------
1     |HUB0            |vpn                               |Operating
2     |HUB0-LOCAL      |bge1                              |Operating
The command completed successfully.

Клиент подключается, получает адрес из подсети 10.0.9.х, а вот маршрут к закрытой сетке 192.168.30.0/24 - почему-то не хочет передаваться:

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.1.1    192.168.1.216   4250
          0.0.0.0          0.0.0.0         On-link        10.0.9.250     26
       10.0.9.250  255.255.255.255         On-link        10.0.9.250    281
        127.0.0.0        255.0.0.0         On-link         127.0.0.1   4556
        127.0.0.1  255.255.255.255         On-link         127.0.0.1   4556
  127.255.255.255  255.255.255.255         On-link         127.0.0.1   4556
      192.168.1.0    255.255.255.0         On-link     192.168.1.216   4506
    192.168.1.216  255.255.255.255         On-link     192.168.1.216   4506
    192.168.1.255  255.255.255.255         On-link     192.168.1.216   4506
        224.0.0.0        240.0.0.0         On-link         127.0.0.1   4556
        224.0.0.0        240.0.0.0         On-link     192.168.1.216   4506
        224.0.0.0        240.0.0.0         On-link        10.0.9.250     26
  255.255.255.255  255.255.255.255         On-link         127.0.0.1   4556
  255.255.255.255  255.255.255.255         On-link     192.168.1.216   4506
  255.255.255.255  255.255.255.255         On-link        10.0.9.250    281
===========================================================================

Пока вышли из положения прописыванием маршрута на клиенте вручную.
Но вопрос "почему так" и "что делать" - остался. Почему в одном случае маршруты отсылаются клиенту, а в другом - нет? И как это поправить?

Доброе время суток всем!

Есть у нас шлюз на FreeBSD 11.1-RELEASE-p15, за которым прячется сетка. В связи с карантинными событиями было дано высочайшее "добро" на работу сотрудникам удалённо, кто может. Для бухгалтерии сделали такой проброс:
1C="192.168.0.164"
rdr on $ext_if inet proto tcp from <rdp_1C> to $ext_IP port = 64128 -> $1C port 3389
pass in on $ext_if inet proto tcp from <rdp_1C> to $ext_IP port = 64128 keep state
pass in on $ext_if inet proto tcp from <rdp_1C> to $1C port = 3389 keep state

Всё вполне нормально работало. Под этот шумок, решили мы немного оптимизировать конфигурацию сети, согласно давно намеченного плана: добавили алиас на сервере 1С и поменяли в pf.conf одну строчку:
1С="192.168.10.164"
Заглянули "снаружи" - залогинились на сервер, повозили мышкой, поклацали на кнопочки - вроде, работает нормально. А утром народ начал жаловаться: пользователь логинится, несколько секунд (от 2 до 5) всё работает нормально, после чего всё замирает, какое-то время циферки на экране ещё меняются, но на мышку/кнопки реакция пропадает и, наконец, появляется сообщение: "Соединение восстанавливается". Да, оно почти тут же восстанавливается, но выпадающие менюшки в формах 1С возвращаются в первоначальное положение, что очень огорчает работающих со справочниками номенклатуры, т.к. через 2-5 секунд это всё опять повторяется.

tcpdump показывает следующее:
[вначале трафик адекватен движениям мышки/нажатию клавиш...]
20:30:43.769503 IP 192.168.10.164.3389 > $rdp_client_IP.4463: Flags [.], seq 98514
:99974, ack 66821, win 63232, length 1460
20:30:43.769592 IP 192.168.10.164.3389 > $rdp_client_IP.4463: Flags [P.], seq 9997
4:100255, ack 66821, win 63232, length 281
20:30:43.779127 IP $rdp_client_IP.4463 > 192.168.10.164.3389: Flags [.], ack 10025
5, win 65535, length 0
20:30:43.814635 IP $rdp_client_IP.4463 > 192.168.10.164.3389: Flags [P.], seq 6682
1:66922, ack 100255, win 65535, length 101
20:30:43.863212 IP 192.168.10.164.3389 > $rdp_client_IP.4463: Flags [P.], seq 1002
55:100852, ack 66922, win 63131, length 597
20:30:43.916366 IP $rdp_client_IP.4463 > 192.168.10.164.3389: Flags [P.], seq 6692
2:67015, ack 100852, win 64938, length 93
20:30:43.956927 IP 192.168.10.164.3389 > $rdp_client_IP.4463: Flags [P.], seq 1008
52:101017, ack 67015, win 63038, length 165
20:30:44.028054 IP $rdp_client_IP.4463 > 192.168.10.164.3389: Flags [P.], seq 6701
5:67116, ack 101017, win 64773, length 101
20:30:44.142358 IP $rdp_client_IP.4463 > 192.168.10.164.3389: Flags [P.], seq 6711
6:67161, ack 101017, win 64773, length 45
20:30:44.144013 IP 192.168.10.164.3389 > $rdp_client_IP.4463: Flags [P.], seq 1010
17:101070, ack 67015, win 63038, length 53
20:30:44.244216 IP $rdp_client_IP.4463 > 192.168.10.164.3389: Flags [P.], seq 6716
1:67254, ack 101070, win 64720, length 93
20:30:44.267978 IP 192.168.10.164.3389 > $rdp_client_IP.4463: Flags [P.], seq 1008
52:101070, ack 67015, win 63038, length 218

[А вот с этого момента начинается "затык"]
20:30:44.276902 IP $rdp_client_IP.4463 > 192.168.10.164.3389: Flags [.], ack 10107
0, win 64720, length 0
20:30:44.357360 IP $rdp_client_IP.4463 > 192.168.10.164.3389: Flags [P.], seq 6725
4:67355, ack 101070, win 64720, length 101
20:30:44.469446 IP $rdp_client_IP.4463 > 192.168.10.164.3389: Flags [P.], seq 6735
5:67456, ack 101070, win 64720, length 101
20:30:44.521517 IP $rdp_client_IP.4463 > 192.168.10.164.3389: Flags [P.], seq 6701
5:67456, ack 101070, win 64720, length 441
20:30:44.581601 IP $rdp_client_IP.4463 > 192.168.10.164.3389: Flags [P.], seq 6745
6:67557, ack 101070, win 64720, length 101
20:30:44.682457 IP $rdp_client_IP.4463 > 192.168.10.164.3389: Flags [P.], seq 6755
7:67650, ack 101070, win 64720, length 93
20:30:44.812509 IP $rdp_client_IP.4463 > 192.168.10.164.3389: Flags [P.], seq 6765
0:67735, ack 101070, win 64720, length 85
20:30:44.833082 IP 192.168.10.164.3389 > $rdp_client_IP.4463: Flags [.], seq 10107
0:102530, ack 67015, win 63038, length 1460
20:30:44.925610 IP $rdp_client_IP.4463 > 192.168.10.164.3389: Flags [P.], seq 6773
5:67836, ack 102530, win 65535, length 101
20:30:45.025510 IP $rdp_client_IP.4463 > 192.168.10.164.3389: Flags [P.], seq 6783
6:67929, ack 102530, win 65535, length 93
20:30:45.138049 IP $rdp_client_IP.4463 > 192.168.10.164.3389: Flags [P.], seq 6792
9:68030, ack 102530, win 65535, length 101
20:30:45.250429 IP $rdp_client_IP.4463 > 192.168.10.164.3389: Flags [P.], seq 6803
0:68131, ack 102530, win 65535, length 101
20:30:45.352424 IP $rdp_client_IP.4463 > 192.168.10.164.3389: Flags [P.], seq 6813
1:68224, ack 102530, win 65535, length 93
20:30:45.465986 IP $rdp_client_IP.4463 > 192.168.10.164.3389: Flags [P.], seq 6822
4:68325, ack 102530, win 65535, length 101
20:30:45.527680 IP $rdp_client_IP.4463 > 192.168.10.164.3389: Flags [P.], seq 6701
5:68325, ack 102530, win 65535, length 1310

[А дальше пошло переподключение клиента]
20:30:45.577157 IP $rdp_client_IP.4463 > 192.168.10.164.3389: Flags [P.], seq 68325:68426, ack 102530, win 65535, length 101
20:30:45.737120 IP 192.168.10.164.3389 > $rdp_client_IP.4463: Flags [.], seq 101070:102530, ack 67015, win 63038, length 1460
20:30:45.746649 IP $rdp_client_IP.4463 > 192.168.10.164.3389: Flags [.], ack 102530, win 65535, length 0
20:30:45.747201 IP 192.168.10.164.3389 > $rdp_client_IP.4463: Flags [.], seq 102530:103990, ack 67015, win 63038, length 1460
20:30:45.747323 IP 192.168.10.164.3389 > $rdp_client_IP.4463: Flags [P.], seq 103990:105450, ack 67015, win 63038, length 1460
20:30:45.756988 IP $rdp_client_IP.4463 > 192.168.10.164.3389: Flags [.], ack 105450, win 65535, length 0
20:30:45.757377 IP 192.168.10.164.3389 > $rdp_client_IP.4463: Flags [P.], seq 105450:106269, ack 67015, win 63038, length 819
20:30:45.929894 IP $rdp_client_IP.4463 > 192.168.10.164.3389: Flags [.], ack 106269, win 64716, length 0
20:30:46.113430 IP 192.168.10.164.3389 > $rdp_client_IP.4463: Flags [P.], seq 106269:106378, ack 67015, win 63038, length 109

На Фре:
# netstat -rn
Routing tables

Internet:
Destination        Gateway            Flags     Netif Expire
default            188.191.24.1       UGS        fxp0
127.0.0.1          link#3             UH          lo0
хх.хх.хх.0/24      link#2             U          fxp0
$ext_IP            link#2             UHS         lo0
192.168.0.0/24     link#1             U           re0
192.168.0.8        link#1             UHS         lo0
192.168.10.0/24    192.168.0.1        UGS         re0

# ifconfig
re0: flags=88843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST,STATICARP> metric 0 mtu 1500
        options=8209b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_MAGIC,LINKSTATE>
        ether 20:cf:30:b3:27:46
        hwaddr 20:cf:30:b3:27:46
        inet 192.168.0.8 netmask 0xffffff00 broadcast 192.168.0.255
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
fxp0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=4219b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4,WOL_MAGIC,VLAN_HWTSO>
        ether 00:02:b3:2d:83:42
        hwaddr 00:02:b3:2d:83:42
        inet $ext_IP netmask 0xffffff00 broadcast $ext_network.255
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        options=600003<RXCSUM,TXCSUM,RXCSUM_IPV6,TXCSUM_IPV6>
        inet6 ::1 prefixlen 128
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3
        inet 127.0.0.1 netmask 0xff000000
        nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
        groups: lo

На винде:
Настройка протокола IP для Windows

Ethernet adapter:

   DNS-суффикс подключения . . . . . :
   IPv4-адрес. . . . . . . . . . . . : 192.168.0.164
   Маска подсети . . . . . . . . . . : 255.255.255.0
   IPv4-адрес. . . . . . . . . . . . : 192.168.10.164
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Основной шлюз. . . . . . . . . : 192.168.0.1

Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.0.1    192.168.0.164    266
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.0.0    255.255.255.0         On-link     192.168.0.164    266
    192.168.0.164  255.255.255.255         On-link     192.168.0.164    266
    192.168.0.255  255.255.255.255         On-link     192.168.0.164    266
      192.168.3.0    255.255.255.0     192.168.0.30    192.168.0.164     11
      192.168.5.0    255.255.255.0     192.168.10.1    192.168.0.164     13
     192.168.10.0    255.255.255.0         On-link     192.168.0.164    266
   192.168.10.164  255.255.255.255         On-link     192.168.0.164    266
   192.168.10.255  255.255.255.255         On-link     192.168.0.164    266
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link     192.168.0.164    266
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link     192.168.0.164    266
===========================================================================
Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
      192.168.5.0    255.255.255.0     192.168.10.1       3
          0.0.0.0          0.0.0.0     192.168.0.1   По умолчанию
===========================================================================

Кто сталкивался? Что это может быть и как с этим бороться? Спасибо всем заранее за умные мысли!

Добрый день!
Нужен совет по выбору решения для балансировки HTTP трафика. Но нужна не просто балансировка, а что бы при превышении лимита подключений к определённому URL клиенты блокировались на определённоё время. Рассматривал вариант с HAProxy, но не нашёл как сделать ограничение соединений за период времени. В идеале после превышения количества подключений перенаправлять клиентов на статическую страницу, а не просто дропать.

Доброго всем дня, коллеги.
Столкнулся небольшой проблемкой.
Дано: Веб сайт на домене 2го уровня domain.ru и куча разных доменов 3 уровня lala.domain.ru. Все расположены на разных хостингах.
Задача: перенести сайт domain.ru в локальную сеть, чтобы из локалки он отзывался по внутреннему адресу 172.16.20.20

Добавил в днс на windows server зону domain.ru сделал в ней A запись с адресом 172.16.20.20, в результате сайт работает а домены 3го уровня из локальной сети перестали отзываться на днс.
Может кто-нибудь подсказать если кто-то сталкивался с подобной задачей как вы поступили или хотя-бы куда копать?

Добрый день!
Есть машина с FreeBSD 12 и одним жестким диском (/dev/ada0), в которую необходимо добавить второй жесткий диск.
Взял новый диск и подключил его по sata. Он будет как /dev/ada1.
Далее сделал так:

# sysctl kern.geom.debugflags=16
kern.geom.debugflags: 0 -> 16

# gpart create -s GPT ada1
ada1 created

# gpart add -t freebsd-ufs -a 1M ada1
ada1p1 added

# newfs -U /dev/ada1p1
/dev/ada1p1: 476939.0MB (976771072 sectors) block size 32768, fragment size 4096
        using 762 cylinder groups of 626.09MB, 20035 blks, 80256 inodes.
        with soft updates
super-block backups (for fsck_ffs -b #) at:
192, 1282432, 2564672, 3846912, 5129152....

# gpart show ada1
=>       40  976773088  ada1  GPT  (466G)
         40       2008        - free -  (1.0M)
       2048  976771072     1  freebsd-ufs  (466G)
  976773120          8        - free -  (4.0K)

# reboot
...
# gpart show ada1
gpart: No such geom: ada1.

Почему?

Добрый день!

Когда пытаюсь зайти из под Windows (Windows 7) на Ubuntu (Ubuntu 20.04) по rdp, то выдаётся такая ошибка:

Произошла ошибка проверки подлинности. Указанная функция не поддерживается Удаленный компьютер: 192.168.0.105

Выполнил команды по рекомендации:

REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2

REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v SecurityLayer /t REG_DWORD /d 0

И всё равно ошибка осталась. Может для Ubuntu это не подходит?

Это лог на Ubuntu /var/log/xrdp.log

[20210410-09:05:16] [INFO ] address [192.168.0.105] port [3389] mode 4
[20210410-09:05:16] [INFO ] listening to port 3389 on 192.168.0.105
[20210410-09:05:16] [INFO ] xrdp_listen_pp done
[20210410-09:05:16] [DEBUG] Closed socket 7 (AF_INET 192.168.0.105:3389)
[20210410-09:05:18] [INFO ] starting xrdp with pid 2120
[20210410-09:05:18] [INFO ] address [192.168.0.105] port [3389] mode 4
[20210410-09:05:18] [INFO ] listening to port 3389 on 192.168.0.105
[20210410-09:05:18] [INFO ] xrdp_listen_pp done
[20210410-09:06:29] [INFO ] Socket 12: AF_INET connection received from 192.168.0.101 port 1549
[20210410-09:06:29] [DEBUG] Closed socket 12 (AF_INET 192.168.0.105:3389)
[20210410-09:06:29] [DEBUG] Closed socket 11 (AF_INET 192.168.0.105:3389)
[20210410-09:06:29] [INFO ] Using default X.509 certificate: /etc/xrdp/cert.pem
[20210410-09:06:29] [INFO ] Using default X.509 key file: /etc/xrdp/key.pem
[20210410-09:06:29] [DEBUG] TLSv1.3 enabled
[20210410-09:06:30] [DEBUG] TLSv1.2 enabled
[20210410-09:06:30] [DEBUG] Security layer: requested 3, selected 1
[20210410-09:06:30] [DEBUG] Closed socket 12 (AF_INET 192.168.0.105:3389)

Где настраивать нужно на Windows или в ubuntu?

Заранее  благодарен. Борис.

Устанавливаю Linux Slackware 14.2 64-bit на RAID 1 по данной инструкции: https://wiki.slackware.su/wiki:od:rraid.

Остановился на том, что создал персональный /etc/mdadm.conf для нашей системы:
- mdadm -Es > /etc/mdadm.conf

Дальше, по рекомендации официальной Slackware решил перейти на «стандартное» (generic) ядро, и перешёл к разделу "Использование стандартного (generic) ядра".

И вот тут непонятно написано - надо ли мне выполнить инструкции из описания Initrd (https://wiki.slackware.su/wiki:od:rinitrd#kak_ja_mogu_sozdat... ) по ссылке из данного раздела на другую статью, или ссылка на него просто для справки, а мне следует продолжать по текущей инструкции???

Подскажите пожалуйста!

Добрый день!

Есть сервер с AVAGO MegaRAID SAS 9361-8i и восемью корзинами.
В корзине 7 и 8 были диски по 500ГБ и из них был собран RAID1
Корзины 5 и 6 были пустые.
Было необходимо увеличить массив, заменив диски на более ёмкие.
Я вставил новые диски в корзины 5 и 6, после чего пометил по очереди диски из корзин 7 и 8 как PDOffline, PDMarkMissing, затем PDPrpRmv, извлёк старые диски.
Новые диски автоматом подхватились и стали частью RAID1, после чего с помощью storcli объём логического раздела был расширен.
Всё вроде хорошо, но вынув старые диски из корзин я получаю постоянно горящие красным индикаторы на корзинах 7 и 8.

Новые диски имеют статус emergency spare судя по логам:

Code: 0x00000196
Class: 1
Locale: 0x02
Event Description: Reminder: Potential non-optimal configuration due to drive PD 10(e0xfc/s1) commissioned as emergency spare
Event Data:
===========
Device ID: 16
Enclosure Index: 252
Slot Number: 1

Подскажите, как перевести их из режима "Emergency Spare" и сделать их полноценной частью RAID массива ?

Спасибо!

⏎06.02.2021, 7:58:56 Transport Error: socket_protect error (UDP)
⏎06.02.2021, 7:58:56 Client terminated, restarting in 2000 ms...
⏎06.02.2021, 7:58:58 EVENT: RECONNECTING ⏎06.02.2021, 7:58:58 EVENT: RESOLVE ⏎06.02.2021, 7:58:58 Contacting [2607:5300:61:111:7a::111]:52614 via UDP
⏎06.02.2021, 7:58:58 WinCommandAgent: transmitting bypass route to 2607:5300:61:111:7a::111
{
    "host" : "2607:5300:61:111:7a::111",
    "ipv6" : true
}

добрый день.

поднимаю сабж.
сам по себе ipsec - работает  (у меня он полиси-бейсед). Linux <-> linux, linux <-> android, linux <-> ios, все без проблем соединяется и работает. проблема в винде. точнее в ее неповторимой манере делать dhcp-запрос в тунель для получения маршрутов.

для этого я тестовых целях поднимаю dnsmasq.  

https://wiki.strongswan.org/projects/strongswan/wiki/Windows...

config setup
   charondebug="dmn 1, mgr 1, ike 2, chd 1, job 1, cfg 1, knl 1, net 1, asn 1, enc 1, lib 1, esp 1, tls 1, tnc 1, imc 1, imv 1, pts 1"
   uniqueids=never

conn vpn-default
    auto=add
    compress=no
    type=tunnel
    keyexchange=ikev2
    ike=aes256-sha1-modp1024
    esp=aes256-sha1
    fragmentation=yes
    forceencaps=yes
    dpdaction=clear
    dpddelay=300s
    rekey=no
    left=%any
    leftid=@vpntest.<censored>.org
    leftauth=pubkey
    leftcert=certificate.pem
    leftsendcert=always
    leftsubnet=192.168.0.0/22,192.168.12.0/22,88.150.215.38/32
    leftfirewall=yes
    right=%any
    rightid=%any
    rightauth=eap-radius
    rightsourceip=10.10.0.2/22
    rightdns=192.168.0.2,192.168.12.2,192.168.21.2
    rightsendcert=never
    eap_identity=%identity

dnsmasq.conf:
log-queries
dhcp-vendorclass=set:msipsec,MSFT 5.0
dhcp-range=10.10.0.10,10.10.3.254
dhcp-option=6
dhcp-option=249,192.168.12.0/255.255.252.0,192.168.0.0/255.255.252.0

по tcpdump вижу, что винда шлет dhcp запросы, но до dnsmasq они не доходят и естественно, на них никто не отвечает.

собственно вопрос в том, как это правильно поднять.

я пробовал сделать бридж без мемберов, с ip 10.10.0.1, и вешать dnsmasq на него, но все равно
не срабатывает.  
было бы совсем хорошо, если бы существовал какой-то финт, заставляющий винду работать с ipsec также, как с ним работают все  остальные системы.

спасибо.

Обнаружил следующее неприятное поведение у IM:

у jpeg, при конвертации из неидеального исходника (низкого качества сканы из интернета и прочее), очень сильно лезут артефакты (а этот кодек даёт результат наиболее близкий к идеалу, если только не лезут артефакты), файл получается излишне большим и значительная часть битрейта уходит именно на точную передачу артефактов.

при этом, webp выдаёт файл в 2 раза меньше при очень сопоставимом качестве (конечно лезет тот же шум, поменьше, за исключением градиентов -- они отвратны, от битрейта не зависит) и сильного искажения цвета (что исправляется -define webp:use-sharp-yuv=1)

avif(aom) - вымарывает детали даже на высоком битрейте где webp вполне справляется и так (артефактов тоже меньше, градиенты в целом чаще удобоваримые), но это вполне терпимо (на q90 и выше). однако, границы объектов почему-то оказываются ощутимо за пределами их контура, что уже видно и не так хорошо (терпимо), а главное, этот кодек вымарывает цвета, совсем как webp без use-sharp-yuv, и такой опции у этого кодера просто нет! как бы сохранить цвета?

heic(x265) - даёт стабильно наилучший результат, но вот только "границы объектов почему-то оказываются ощутимо за пределами их контура" и они в этом случае совсем уж страшные и корявые, а многие края превращаются в радужные артефакты, что совсем уже ни в какие ворота, и есть ровно то же самое вымарывание цветов.

Что это, баги в IM? Почему их не исправляют уже лет 5, они же очевидные? Как бы мне сохранить оттенки без искажения на avif, ведь кому нужны файлы с убитыми цветами?

издали наблюдая за уязвимостями, вижу, что в убунту периодически находят проблемы в безопасности, которым не подвержен rhel (например https://www.opennet.me/opennews/art.shtml?num=54616)
гугление говорит, что например FORTIFY_SOURCE применяется в дебиане, а про убубнту найти эту информацию нереально.
с другой стороны есть FIPS совместимая убунта (https://ubuntu.com/security/certifications) и никто не говорит, чем она отличается от обычной, кроме сертификации.
понятно, что выбор ос не единственный способ обеспечения безопасности, но все же, хочется понимать в чем разница и есть ли смысл использовать RHEL (OL) вместо убунты.
OL вроде как пересборка, очень удобен их новый кернел, + они клянутся что оно еще более hardened.
задачи, для которых используется сервер: kvm, докер, машинное обучение базы данных. серверов (физических) сейчас 5.

Уважаемые Гуру подскажите как запустить sendmail в качестве внешнего smtp. Не могу осилить.
Поставил из коропки (Debian 10). Создал юзера info c групой mail. C локального хоста MSG улетают нормально, проблем нет.

senmail.mc

FEATURE(`no_default_msa')dnl
dnl DAEMON_OPTIONS(`Family=inet6, Name=MTA-v6, Port=smtp, Addr=::1')dnl
DAEMON_OPTIONS(`Family=inet,  Name=MTA-v4, Port=smtp, Addr=0.0.0.0')dnl
dnl DAEMON_OPTIONS(`Family=inet6, Name=MSP-v6, Port=submission, M=Ea, Addr=::1')dnl
DAEMON_OPTIONS(`Family=inet,  Name=MSP-v4, Port=submission, M=Ea, Addr=0.0.0.0')dnl

dnl #
dnl # Be somewhat anal in what we allow
define(`confPRIVACY_FLAGS',dnl
`needmailhelo,needexpnhelo,needvrfyhelo,restrictqrun,restrictexpand,nobodyreturn,authwarnings')dnl
dnl #
dnl # Define connection throttling and window length
define(`confCONNECTION_RATE_THROTTLE', `15')dnl
define(`confCONNECTION_RATE_WINDOW_SIZE',`10m')dnl
dnl #
dnl # Features
dnl #
dnl # use /etc/mail/local-host-names
FEATURE(`use_cw_file')dnl
dnl #
dnl # The access db is the basis for most of sendmail's checking
FEATURE(`access_db', , `skip')dnl
dnl #
dnl # The greet_pause feature stops some automail bots - but check the
dnl # provided access db for details on excluding localhosts...
FEATURE(`greet_pause', `1000')dnl 1 seconds
dnl #
dnl # Delay_checks allows sender<->recipient checking
FEATURE(`delay_checks', `friend', `n')dnl
dnl #
dnl # If we get too many bad recipients, slow things down...
define(`confBAD_RCPT_THROTTLE',`3')dnl
dnl #
dnl # Stop connections that overflow our concurrent and time connection rates
FEATURE(`conncontrol', `nodelay', `terminate')dnl
FEATURE(`ratecontrol', `nodelay', `terminate')dnl
dnl #
dnl # If you're on a dialup link, you should enable this - so sendmail
dnl # will not bring up the link (it will queue mail for later)
dnl define(`confCON_EXPENSIVE',`True')dnl
dnl #
dnl # Dialup/LAN connection overrides
dnl #
include(`/etc/mail/m4/dialup.m4')dnl
include(`/etc/mail/m4/provider.m4')dnl
dnl #
dnl # Default Mailer setup
MAILER_DEFINITIONS
MAILER(`local')dnl
MAILER(`smtp')dnl

--------------------
lsof -inP

sendmail- 26821     root    4u  IPv4 21300391      0t0  TCP *:25 (LISTEN)
sendmail- 26821     root    5u  IPv4 21300392      0t0  TCP *:587 (LISTEN)

C микротика пытаюсь отправить msg. в ответ
Error sending e-mail <TEST>: AUTH method not supported

на стороне хоста
domain.zx [XXX.XX.XX.XX] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA-v4

Помогите плз

добрый день.
есть mariadb
mysql -V
mysql  Ver 15.1 Distrib 5.5.68-MariaDB, for Linux (x86_64) using readline 5.1

создал бд
MariaDB [none]> create database testdb;

создал пользователя
MariaDB [none]> create user testuser identified by 'testpass';

дал пользователю права на бд
MariaDB [none]> grant all privileges on testdb.* to testuser;
MariaDB [none]> flush privileges;

возможно ли сделать так, чтобы пользователь при вводе
mysql -u testuser -p подключался только к "своей" базе?
в какую сторону копать?

Всем доброго времени суток.

Имеется рэлей sendmail на внешнем хосте. С него локально можно слать служебные сообщения. Хотел его использовать в качестве SMTP для отправки служебных сообщений с микротиков. Но вот не задача, что-то проблемы с отправкой. Решил прикрутить TLS сертификаты, может в этом проблема. Но вот столкнулся как правильно сгенерить само подписанный сертификат. Куча манов и всюду по разному. Помогите с этим как правильно сделать.

Добрый день!

Может кто поможет побороть или направить в нужное направление.
Имеем сеть с авторизацией по option82(vlan+port):
- option82
- option82+mac
сейчас пытаюсь внедрить ipv6, потому добавляем авторизацию по:
- option37

Freeradius mysql + files, так как username в mysql уникальное значение, а за портом может быть больше одго dhcp-client их пишем в файлы с дополнительным параметром calling-station-id(то есть МАС-адрес). На данный момент, без option37 все работает, в радиус подменяем username на DHCP-RelayCircuitId. И можно было бы закрыть глаза на небольшие костыли в виде mysql + files, но так как хочеться еще внедрить ipv6, надо иметь username = DHCPv6-RelayCircuitId.

Вот собственно и вопрос, как сделать подмену username на нужный параметр в запросе? Если есть option82 то (username=dhcp-relaycircuitid), если есть option37 то (username=dhcpv6-relaycircuitid), если нет ничего то (username).

Спасибо!

Добрый вечер.
Проблема с установкой CentOS 8.x на кластер Hyper-v:
- во втором поколении - чёрный экран с немигающим курсором
- в первом поколении - сразу же Kernel Panic
Troubleshooting ничего не даёт: при попытке теста iso-шника или запуска rescue, тоже kernel panic.
С CentOS <8 таких проблем не было, вставали влёт.
Заранее благодарен за любую помощь.

есть поднятый туннель между подсетью 192.168.250.0/24 и 192.168.2.0/24. В целом туннель работает данные между маршрутизатором в сети 192.168.250.0/24 и хостами в 192.168.2.0/24 - бегают. а вот к хостам в сети 192.168.250.0/24 из 192.168.2.0/24 - не достучаться.

Сеть 192.168.2.0/24 - спрятана за NSX Edge
Сеть 192.168.250.0/24 - поднят Libreswan на сервер в локалке и этот сервер находится за NAT.

Сервер:
$ lsb_release -a
No LSB modules are available.
Distributor ID:    Ubuntu
Description:    Ubuntu 18.04.5 LTS
Release:    18.04
Codename:    bionic

$ ifconfig
ens160: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.250.2  netmask 255.255.255.0  broadcast 192.168.250.255
        inet6 fe80::250:56ff:fea1:997d  prefixlen 64  scopeid 0x20<link>
        ether 00:50:56:a1:99:7d  txqueuelen 1000  (Ethernet)
        RX packets 68679538  bytes 18707430743 (18.7 GB)
        RX errors 0  dropped 8  overruns 0  frame 0
        TX packets 50187520  bytes 5291809224 (5.2 GB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 23503072  bytes 1881838589 (1.8 GB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 23503072  bytes 1881838589 (1.8 GB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

таблица маршрутов

$ sudo netstat -rn
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0         192.168.250.1   0.0.0.0         UG        0 0          0 ens160
10.77.45.21     192.168.250.1   255.255.255.255 UGH       0 0          0 ens160
10.160.35.41    192.168.250.1   255.255.255.255 UGH       0 0          0 ens160
10.160.35.42    192.168.250.1   255.255.255.255 UGH       0 0          0 ens160
10.160.35.43    192.168.250.1   255.255.255.255 UGH       0 0          0 ens160
10.160.35.44    192.168.250.1   255.255.255.255 UGH       0 0          0 ens160
10.236.20.1     192.168.250.1   255.255.255.255 UGH       0 0          0 ens160
172.19.7.5      192.168.250.1   255.255.255.255 UGH       0 0          0 ens160
a.a.a.a         192.168.250.1   255.255.255.255 UGH       0 0          0 ens160
192.168.1.0     192.168.250.1   255.255.255.0   UG        0 0          0 ens160
192.168.2.0     0.0.0.0         255.255.255.0   U         0 0          0 ens160
192.168.250.0   0.0.0.0         255.255.255.0   U         0 0          0 ens160
b.b.b.b         192.168.250.1   255.255.255.255 UGH       0 0          0 ens160
c.c.c.c         192.168.250.1   255.255.255.240 UG        0 0          0 ens160

Версия либры
$ dpkg -l | grep libreswan| awk '{print $2,$3}'
libreswan 3.23-4

Конфиг:
conn dtln2
        type=           tunnel
        authby=         secret

        left=           192.168.250.2
        leftid=         x.x.x.x
        leftsubnet=     192.168.250.0/24
        leftnexthop=    %defaultroute
        leftsourceip=   192.168.250.2

        right=          y.y.y.y
        rightsubnet=    192.168.2.0/24
        rightnexthop=   %defaultroute

        ike=            aes256-sha1-modp1536
        ikelifetime=    28800
        salifetime=     3600
        pfs=            yes
        rekey=          yes
        keyingtries=    %forever
        phase2alg=      aes256-sha1;modp1536
        auto=           start

        dpddelay=       3
        dpdtimeout=     10
        dpdaction=      restart_by_peer

        keyexchange=ike
        ikev2=insist

$ sudo ip xfrm state
...
src y.y.y.y dst 192.168.250.2
    proto esp spi 0x928bcbae reqid 16393 mode tunnel
    replay-window 32 flag af-unspec
    auth-trunc hmac(sha1) 0xf46e08a..... 96
    enc cbc(aes) 0xd5d8....
    encap type espinudp sport 4500 dport 4500 addr 0.0.0.0
    anti-replay context: seq 0x1369, oseq 0x0, bitmap 0xffffffff
src 192.168.250.2 dst y.y.y.y
    proto esp spi 0xcee160c8 reqid 16393 mode tunnel
    replay-window 32 flag af-unspec
    auth-trunc hmac(sha1) 0x37a6626..... 96
    enc cbc(aes) 0x12789....
    encap type espinudp sport 4500 dport 4500 addr 0.0.0.0
    anti-replay context: seq 0x0, oseq 0xddd, bitmap 0x00000000
...

$ sudo ip xfrm policy
...
src 192.168.250.0/24 dst 192.168.2.0/24
    dir out priority 2344
    tmpl src 192.168.250.2 dst y.y.y.y
        proto esp reqid 16393 mode tunnel
src 192.168.2.0/24 dst 192.168.250.0/24
    dir fwd priority 2344
    tmpl src y.y.y.y dst 192.168.250.2
        proto esp reqid 16393 mode tunnel
src 192.168.2.0/24 dst 192.168.250.0/24
    dir in priority 2344
    tmpl src y.y.y.y dst 192.168.250.2
        proto esp reqid 16393 mode tunnel
...
src ::/0 dst ::/0
    socket out priority 0
src ::/0 dst ::/0
    socket in priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
    socket out priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
    socket in priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
    socket out priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
    socket in priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
    socket out priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
    socket in priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
    socket out priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
    socket in priority 0
src ::/0 dst ::/0 proto ipv6-icmp type 135
    dir out priority 1
src ::/0 dst ::/0 proto ipv6-icmp type 135
    dir fwd priority 1
src ::/0 dst ::/0 proto ipv6-icmp type 135
    dir in priority 1
src ::/0 dst ::/0 proto ipv6-icmp type 136
    dir out priority 1
src ::/0 dst ::/0 proto ipv6-icmp type 136
    dir fwd priority 1
src ::/0 dst ::/0 proto ipv6-icmp type 136
    dir in priority 1

$ sudo iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination        
f2b-sshd   tcp  --  anywhere             anywhere             multiport dports ssh

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination        
ACCEPT     all  --  192.168.250.0/24     192.168.2.0/24      
ACCEPT     all  --  192.168.2.0/24       192.168.250.0/24    

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination        

Chain f2b-sshd (1 references)
target     prot opt source               destination        
...

Вот как ведёт себя хост из сети 192.168.2.0/24 (192.168.2.19)
Проверяем доступность маршрутизатора:

ist@mdp-tfk-2:~$ ping 192.168.250.2
PING 192.168.250.2 (192.168.250.2) 56(84) bytes of data.
64 bytes from 192.168.250.2: icmp_seq=1 ttl=63 time=1.80 ms
64 bytes from 192.168.250.2: icmp_seq=2 ttl=63 time=1.98 ms
^C
--- 192.168.250.2 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1002ms
rtt min/avg/max/mdev = 1.806/1.897/1.988/0.091 ms

Все пакеты прошли
Проверяем доступ к хосту за маршрутизатором

ist@mdp-tfk-2:~$ ping 192.168.250.20
PING 192.168.250.20 (192.168.250.20) 56(84) bytes of data.
64 bytes from 192.168.250.20: icmp_seq=1 ttl=62 time=2.15 ms
^C
--- 192.168.250.20 ping statistics ---
3 packets transmitted, 1 received, 66% packet loss, time 2016ms
rtt min/avg/max/mdev = 2.159/2.159/2.159/0.000 ms
ist@mdp-tfk-2:~$

Проскакивает первый пакет , а потом тишина.

Со стороны сети 192.168.250.0/24.
С маршрутизатора (192.168.250.2)
$ ping 192.168.2.19
PING 192.168.2.19 (192.168.2.19) 56(84) bytes of data.
64 bytes from 192.168.2.19: icmp_seq=1 ttl=63 time=2.26 ms
64 bytes from 192.168.2.19: icmp_seq=2 ttl=63 time=2.12 ms
64 bytes from 192.168.2.19: icmp_seq=3 ttl=63 time=2.05 ms
^C
--- 192.168.2.19 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2002ms
rtt min/avg/max/mdev = 2.058/2.151/2.269/0.102 ms

С хоста в сети (192.168.250.222)
$ ping 192.168.2.19
PING 192.168.2.19 (192.168.2.19) 56(84) bytes of data.
From 192.168.250.2 icmp_seq=1 Redirect Host(New nexthop: 192.168.2.19)
From 192.168.250.2: icmp_seq=1 Redirect Host(New nexthop: 192.168.2.19)
64 bytes from 192.168.2.19: icmp_seq=1 ttl=62 time=2.56 ms
From 192.168.250.222 icmp_seq=2 Destination Host Unreachable
From 192.168.250.222 icmp_seq=3 Destination Host Unreachable
From 192.168.250.222 icmp_seq=4 Destination Host Unreachable
From 192.168.250.222 icmp_seq=5 Destination Host Unreachable
From 192.168.250.2 icmp_seq=6 Redirect Host(New nexthop: 192.168.2.19)
From 192.168.250.2: icmp_seq=6 Redirect Host(New nexthop: 192.168.2.19)
64 bytes from 192.168.2.19: icmp_seq=6 ttl=62 time=2.52 ms
^C
--- 192.168.2.19 ping statistics ---
8 packets transmitted, 2 received, +6 errors, 75% packet loss, time 7003ms
rtt min/avg/max/mdev = 2.524/2.542/2.560/0.018 ms, pipe 4
[eyeline@gw-01 ~]$

Если судить по доке https://libreswan.org/wiki/Subnet_to_subnet_VPN - всё сделано верно. А не работает для всей подсети

Может кто-то подсказать, где затык?

Доброе время суток всем!

Помогите разобраться с pf: произошло слияние двух географически разнесённых контор. У каждой была (и осталась своя сетка), был настроен канал обмена данными через openvpn. В каждом филиале (теперь) был свой админ. Недавно админ смежного филиала уволился и мне поручили следить за вторым филиалом, пока туда не возьмут нового человека. На той стороне, к счастью, тоже стоит FreeBSD. Я привык к ipfw, а с той стороны - pf. Ещё одна проблема в том, что основные рабочие сетки у нас одинаковые - 192.168.0.0/24.

Пытаюсь настроить мониторилку состояния серверов/шлюзов той сети. Адреса openvpn: 192.168.5.1 - сервер с той стороны, 192.168.5.22 - мой; 192.168.0.8 - один из объектов мониторинга на той стороне (напоминаю, что и у меня сетка 192.168.0.0/24)

На той стороне добавляю в pf.ctl
rdr log on ovpn_if inet proto tcp from 192.168.5.22 to 192.168.10.8 ->192.168.0.8
pass log quick proto udp from 192.168.5.22 to 192.168.0.8
pass log quick proto udp from 192.168.5.22 to 192.168.10.8

ping на 192.168.10.8 отбивается с ответом from 192.168.5.1: Destination Host Unreachable
В pflog ничего не попадает. :( man pf курю уже по третьему кругу, но пока не понимаю, где я не прав.
pf.ctl:

int_if="re0"
int_ip="192.168.0.1"
vid_ip="10.0.0.112"
ext_if="fxp0"
ovpn_if="tun0"

srv="{192.168.0.2, 192.168.0.29, 192.168.0.155}"

1c_otch="{31.13.60.76, 89.188.115.186, 91.239.5.33}"
1c_port="{110, 465}"
mail_port="{25, 110, 465, 993, 995}"
mail_nic_ru="{194.85.88.224/27, 91.189.116.32/28}"
smtp_mail_ru="{94.100.180.160, 217.69.139.160}"

localnet="{192.168.0.0/24, 192.168.1.0/24, 192.168.2.0/24, 192.168.3.0/24, 192.168.5.0/24, 192.168.33.0/24, 192.168.7.242/32, 192.168.7.239/32}"
client_out="{ssh, domain, http, https, 8000, 3128, 8080, ntp}"
udp_services="{domain, ntp, 32769}"
icmp_types="{echoreq, unreach}"

table <1c_ruser> persist file "/etc/1c_ruser"

set skip on lo0
set block-policy drop
set ruleset-optimization basic
set loginterface re0
scrub in all

### mail nic.ru ###
nat on $int_if from $localnet to $mail_nic_ru port $mail_port ->$int_ip
nat on $int_if from 192.168.0.30 to $smtp_mail_ru port {25,465} ->$int_ip

# RDP 1C
nat on $ovpn_if from <1c_ruser> to 192.168.5.22 ->192.168.5.1
# 2 old buserver
nat on $ovpn_if from {192.168.0.2, 192.168.0.46, 192.168.0.65} to 192.168.4.10 ->192.168.5.1
nat on $ovpn_if from {192.168.0.2, 192.168.0.46, 192.168.0.65} to 192.168.4.106 ->192.168.5.1
nat on $ovpn_if from {192.168.0.2, 192.168.0.46, 192.168.0.65} to 192.168.4.165 ->192.168.5.1

###
nat on $int_if from 192.168.2.0/24 to any port 5190 ->$int_ip
### for security scan
nat on vlan3 from 192.168.0.29 to 192.168.2.0/24 -> 192.168.2.154
###

rdr log on ovpn_if inet proto tcp from 192.168.5.22 to 192.168.10.8 ->192.168.0.8

block log all
block quick proto ipv6
block quick proto icmp6 all

pass quick from $localnet to any
pass on $int_if inet proto udp from any to any port $udp_services
pass on $int_if inet proto tcp from any to 192.168.0.1 port 47365
pass in quick on $int_if inet proto tcp from any port 8000 to 192.168.0.1
pass in on $int_if inet proto tcp from any to any port 22
pass in on $int_if inet from 192.168.7.0/24 to 192.168.0.1
pass out quick on $ext_if from $ext_if to any
pass from 192.168.0.164 to any

pass quick proto tcp from 192.168.0.46 to 192.168.4.10 port 3389

pass log quick proto udp from 192.168.5.22 to 192.168.0.8
pass log quick proto udp from 192.168.5.22 to 192.168.10.8

pass quick proto udp from any to 192.168.0.1 port {22, 53, 67}

### Agent ###
pass quick proto tcp from 192.168.15.0/28 to any port {22,53,80,443,4244,5242,8000,8080,8081,8082,8083,8084,8085,8086,8087,8088,8089,8090,8291}
pass quick proto udp from 192.168.15.0/28 to any port {53,123,5243,7987,7985,9785}
pass quick proto tcp from 192.168.15.0/28 to 81.24.214.144 port 10058
pass quick proto icmp from any to 192.168.15.0/28
pass quick proto icmp from 192.168.15.0/28 to any
block in on $ext_if  inet proto icmp all

pass quick proto tcp from 192.168.50.0/30 to any port {22,53,80,443,4244,5242,8000,8080,8081,8082,8083,8084,8085,8086,8087,8088,8089,8090}
pass quick proto udp from 192.168.50.0/30 to any port {53,123,5243,7987,7985,9785}
pass quick proto icmp from any to 192.168.50.0/30
pass quick proto icmp from 192.168.50.0/30 to any
block in on $ext_if  inet proto icmp all

Я решил заменить компьютер, выполняющий роль интернет-шлюза в домашней сети. На новый компьютер поставил систему MX Linux 19.3 (дистрибутив на основе Debian 10). В компьютере имеются две сетевые карты:

# ifconfig
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.0.250  netmask 255.255.255.0  broadcast 192.168.0.255
        inet6 fe80::2284:e52d:880a:904d  prefixlen 64  scopeid 0x20<link>
        ether 18:c0:4d:08:eb:53  txqueuelen 1000  (Ethernet)
        RX packets 33707  bytes 2767464 (2.6 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 1262  bytes 183678 (179.3 KiB)
        TX errors 13  dropped 0 overruns 0  carrier 0  collisions 0

eth1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.1.2  netmask 255.255.255.0  broadcast 192.168.1.255
        inet6 fe80::fe76:af03:3d68:6a3f  prefixlen 64  scopeid 0x20<link>
        ether 50:3e:aa:10:b6:a3  txqueuelen 1000  (Ethernet)
        RX packets 58631  bytes 70399675 (67.1 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 61103  bytes 4418094 (4.2 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
...
...
...

eth0 смотрит в локальную сеть, а eth1 -- в интернет через гейтвей 192.168.1.254:

# netstat -nr
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0         192.168.1.254   0.0.0.0         UG        0 0          0 eth1
192.168.0.0     0.0.0.0         255.255.255.0   U         0 0          0 eth0
192.168.1.0     0.0.0.0         255.255.255.0   U         0 0          0 eth1
192.168.3.0     0.0.0.0         255.255.255.0   U         0 0          0 eth0

Я отредактировал файл  /etc/sysctl.conf таким образом:

net.ipv4.ip_forward=1

и проверил, что это работает:

# cat /proc/sys/net/ipv4/ip_forward
1

Когда я пингую с компьютера 192.168.0.79, подключенного к eth0 адреса 192.168.0.250 (eth0) и 192.168.1.2 (eth1), все нормально, я получаю отклик. Но при попытке пинговать адрес 192.168.1.254, к которому подключена eth1, я получаю: "Destination Host Unreachable"
Файерволл полностью открыт:

# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination        

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination        

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination        

Что можно сделать, чтобы форвардинг заработал?