> забирает сразу обе A записи и,
> в случае неудачи по одному IP пытается отправить на второй, или
> "запоминает" первую попавшуюся A запись и долбится в нее до окончания
> TTL? И мне тогда надо указывать TTL 5-10 секунд?

TTL это хранение RR в кеше, ты вообще не туда думаешь.

> Есть один почтовик с двумя провайдерами; надежность провайдера, у которого скорость выше
> хромает.
> Я создаю MX запись mail.xxx.yy. A записей на домен mail.xxx.yy две. По
> одной на каждый IP каждого провайдера. Для "распределения" нагрузки.

Лучше сделайте две записи A с разными именами. Типа mail.xxx.yy на IP одного провайдера, и mail-aux.xxx.yy на IP второго провайдера. И две записи MX, одну приоритетнее на A адрес через провайдера пошире, вторую менее приоритртную через провайдера понадёжнее.
xxx.yy.          MX  5 mail.xxx.yy.
xxx.yy.          MX  10 mail-aux.xxx.yy.
mail.xxx.yy.     А   1.1.1.1
mail-aux.xxx.yy. А   2.2.2.2
"Распределения" нагрузки не надо, если сервер всё равно один, от попытки распределения будет больше вреда чем пользы.

> Вопрос: Если я укажу на A записи "кошерный" TTL 3600 сек, почтовый
> сервер пытающийся отправить нам письмо забирает сразу обе A записи и,
> в случае неудачи по одному IP пытается отправить на второй, или
> "запоминает" первую попавшуюся A запись и долбится в нее до окончания
> TTL? И мне тогда надо указывать TTL 5-10 секунд?

Заберёт обе A записи, запомнит результат на 3600 секунд и будет их использовать как ему вздумается. Пока TTL не истечёт, будет пользоватся тем ответом который уже добыл. Когда истечёт - спросит снова. TTL не влияет на выбор из нескольких записей A, а только на то, как часто их будут спаршивать у авторитативного DNS.

> Подскажите, пожалуйста, как в правилах iptables дать доступ к сети 2.2.2.2/28 из
> локальных сетей и интернета?

Точно так-же как доступ из LAN1 в LAN2, например.
-A FORWARD -i DMZ -o WAN -j ACCEPT
-A FORWARD -i WAN -o DMZ -j ACCEPT
-A FORWARD -i LAN1 -o DMZ -j ACCEPT
-A FORWARD -i LAN2 -o DMZ -j ACCEPT

> Или достаточно включенной ip_forward?

Если policy в цепи FORWARD стоит в ACCEPT, то да. Но лучше чтоб там было DROP.

Кроме того, вам придётся что-то делать с NAT. Скорее всего у вас правило что "всё что уходит к провайдеру надо NAT-ить". Таким образом NAT будет применятся и к трафику из DMZ в WAN. Его придётся изменить на "всё что уходит к провайдеру И идёт из LAN1 или LAN2, надо NAT-ить" и "всё что уходит в DMZ И идёт из LAN1 или LAN2, надо NAT-ить".
-A POSTROUTING -t nat -o DMZ -s 192.168.0.1/24 -j MASQUERADE
-A POSTROUTING -t nat -o DMZ -s 10.10.10.1/24 -j MASQUERADE
-A POSTROUTING -t nat -o WAN -s 192.168.0.1/24 -j MASQUERADE
-A POSTROUTING -t nat -o WAN -s 10.10.10.1/24 -j MASQUERADE
https://tldp.org/HOWTO/html_single/Masquerading-Simple-HOWTO/
(или SNAT вместо MASQUERADE https://terrywang.net/2016/02/02/new-iptables-gotchas.html )

Примерно так.

> Или любой способ не замусоривающий лог?

Перейти на Dell?

> Можно как-то получать доступ к элементам ilo, скажем "iLO Event Log", "Integrated
> Management Log" через ipmi?
> Или любой способ не замусоривающий лог?

почему именно через http? не проще использовать внутренний интерфейс
а чем не устраивает ipmitool?

У ilo есть ssh, reventlog...

А лицензию ты купил? А то по умолчанию iLO имеет весьма урезанный функционал.

докер, подман, кубер и др. иностранные слова

man taskset
duckduckgo cpu affinity

docker:
--cpuset-cpus     Limit the specific CPUs or cores a container can use. A comma-separated list or hyphen-separated range of CPUs a container can use, if you have more than one CPU. The first CPU is numbered 0. A valid value might be 0-3 (to use the first, second, third, and fourth CPU) or 1,3 (to use the second and fourth CPU).

с гугла
https://www.mercurial-scm.org/wiki/RepositoryCorruption

Так у вас и сама папка так называется? Не только шара с кириллицей? или я не так понял?

> Прошу помочь разобраться в проблеме.
> Заранее благодарю!

Попробуйте программы типа Fiddler2 - через нее запускайте Google Chrome и отслеживайте, что происходит при попытке вложить файл.

PS: в OpenSource вы сами по себе. Если решение не найдете - то придется уходить на English названия.

Задан вопрос как будто сами собираетесь транслировать а не смотреть (влс тоже умеет)
А запустить трансляцию можно автоматически скормив адрес страницы другой программе донлоалер бтуб она подаст всвоб очередь на вход влц то что смотреть

> пример ссылки с Твича

По ссылке протокол HLS, он в принципе не может не запаздывать.

Единственно верное решение - собрать ноду нужной вам версии самостоятельно. Опционально убрать в пакет, автоматизировать пересборку на актуальную версию с перепакетированием, локальный репозиторий, вот это всё.
Но первое движение - make && make install

Если ставить из snap то там 15.0.0-nightly20200501e9518254

Вроде, нужно дописать знак минус в конце имени ненужного пакета:
https://serverfault.com/questions/250224/how-do-i-get-apt-ge...

Запомнит ли Апт это - не знаю. Но, система пакетирования специально придумана и сделана чтобы таких вещей с зависимотями не делалось.

Но - большое достоинство этого мира - оставлена возможность сделать лучше других. :)

А зачем именно apt? None есть на официальном сайте портабельно собранный, просто распаковывается куда нибудь в /opt/nodejs и используется без всяких этих dependency hell.

Эксперименты с другими дистрибутивами/ядрами нужны не для того, чтобы потом перейти на них, а для того, чтобы было с чем сравнивать.
Пробуй live версии, где заведется - там и смотри, чем отличаются.

>[оверквотинг удален]
> "sensors", хотя с BIOS они отлично отображаются.
> Раньше на этоя материнке работал CentOS 6, и емнимп, обороты в нем
> отображались нормально.
> Но прогресс не стоит на месте - если раньше ядро было 2.6.xxx
> и все с ним прекрасно работало, то из современного 4.19.xxx, если
> не ошибаюсь, что-то выкинули и создали проблему.
> Можно ли решить эту проблему?
> Только пожалуйста, не предлагайте эксперименты с ядрами, в силу некоторых причин мне
> нужно придерживаться официального ядра Debian 10/64.
> Может, какое-то firmware поможет, или еще что-то...

Вероятно самый простой способ посмотреть разницу- это всетаки загрузится с лайвсд  старой оськой и новой и сравнить содержимое оборудования. если чтото из поддержки старого выкинули - разница будет видна.

> Всё завелось и работает, кроме отображения оборотов вентиляторов CPU и шасси в
> "sensors", хотя с BIOS они отлично отображаются.

для начала сделать sensors-detect и посмотреть не найдёт ли он недостающие модули
которые надо будет просто подгрузить

ваш кэп

> Вопрос, кто-то поднимал такую связку? Можете поделится конфигурацией или подскажете где
> почитать?
> Пока нашёл только пропускание фронтенда кролика через него. А нужно именно AMPQ.
> По документации видно, что в TCP умеет, но ни одной доки
> на связку с таким популярным продуктом...

Для понимания, пробовался такой конфиг

[entryPoints]
  [entryPoints.rmq]
    address = ":25672"

[tcp]

  [tcp.routers]
    [tcp.routers.rmq]
      entrypoints = ["rmq"]
      rule = "HostSNI(`*`)"
      service = "rmq"
      [tcp.routers.rmq.tls]
        passthrough = true

  [tcp.services]
    [tcp.services.rmq.loadbalancer]
      [[tcp.services.rmq.loadbalancer.servers]]
        address = "127.0.0.1:5672"

Теоретически можно, хотя и не всякие диски. Есть такой зверь - SAS dual port, но без сети всё равно не получится. Сами сервера должны как-то обмениваться между собой метаданными - "моя очередь", "я там блок записал, зацени" и т.д.

Собственно, HA-SAN так и устроены - каждый диск подключен к паре серверов. А сервера между собой общаются через FC или ещё какой Infiniband.

https://www.opennet.me/openforum/vsluhforumID10/5542.html

> ищу возможность подключить один диск к двум серверам\пк одновременно без использования
> сети,

Какую-то сеть использовать Всё равно придётся. SAS или FC вполне себе сети. Возможно, для вашей задачи можно даже остаться в рамках привычной IPoE (IP over Ethernet), но сделать её изолированной от остальной сети.

> чтобы диск определялся как обычный системный(не NAS\iSCSI).

Если сетевой адаптер достаточно продвинутый, он по iSCSI вполне представит диск как системный.

> может быть есть какие-то переходники с допконтроллером для ide\sata\sas ?

Да. NAS или SAN подходят под это описание.
Если отдельной железкой накладно, можно запихнуть накопители в один из серверов и пусть другой будет клиентом, по выделенному шнурку Ethernet.
Если хочется избыточности и независимости серверов друг от друга, а отдельную железку всё равно накладно, можно собрать по сети подобие RAID1 с помощью DRBD.
https://en.wikipedia.org/wiki/Distributed_Replicated_Block_D...

Ещё мелькали любопытнейшие диски Kinetic Open Storage. Типа как dual ported drives (выше написали), но непосредственно с интерфейсом Ethernet. В проде, и даже в предложениях интеграторов не видел, но в прайсе SuperMicro они представлены.

А зачем? Идея выглядит как-то не слишком удачно.

> Здравствуйте.
> ищу возможность подключить один диск к двум серверам\пк одновременно без использования
> сети,
> чтобы диск определялся как обычный системный(не NAS\iSCSI).
> в идеале чтобы каждый сервер\пк мог по очереди писать\читать с диска.
> может быть есть какие-то переходники с допконтроллером для ide\sata\sas ?
> это реально или нет?

Ты хочешь ext4 (или любую другую некластерную фс) примонтировать с нескольких машин одновременно? Это очень стрёмная идея.

> Здравствуйте.
> ищу возможность подключить один диск к двум серверам\пк одновременно без использования
> сети,
> чтобы диск определялся как обычный системный(не NAS\iSCSI).
> в идеале чтобы каждый сервер\пк мог по очереди писать\читать с диска.
> может быть есть какие-то переходники с допконтроллером для ide\sata\sas ?
> это реально или нет?

Один и тот же диск как LUNы на разных машинах реально, но очень не рекомендуется. Ext2/3/4, ReiserFS, XFS, JFS,BTRFS и тому подобное не смогут работать ( работать то смогут, но быстрее разрушится файловая система на диске из-за того что два хоста знать не знают друг о друге и не обмениваются данными из кешей). Не изобретайте велосипеды, используйте NFS, CIFS если нужно чтобы на разных хостах были видны изменения в ФС, используйте кластерные ФС типа Lustre/GPFS/OCFS но тут придется сооружать кластер и делать сеть между хостами.

> Здравствуйте.
> ищу возможность подключить один диск к двум серверам\пк одновременно без использования
> сети,
> чтобы диск определялся как обычный системный(не NAS\iSCSI).
> в идеале чтобы каждый сервер\пк мог по очереди писать\читать с диска.
> может быть есть какие-то переходники с допконтроллером для ide\sata\sas ?
> это реально или нет?

Ну, Вам вроде уже все сказали, но остался вопрос- а зачем Вам это?

> Зимбра 8.7.11 на Центоси 6.

начните с отключения SELinux.

>[оверквотинг удален]
> Письма приходят и уходят, доступ по имап к ящикам есть.
> Работает даже веб доступ к админке.
> Но остовной веб доступ - не работает.
> При запросе https://мой_сервер адресную строку меняет на
> https://мой_сервер/public/мой_сервер и выдает ошибку 404.
> Если положить в jettydistribution9.3.5.v20151012/webapps/zimbra/public/ какой-нибудь
> html файл и задать https://мой_сервер/public/файл, то содержание файла печатает.
> Прокси и мемкэш отключены.
> Зимбра 8.7.11 на Центоси 6.
> Спасибо, если кто откликнется.

/opt/zimbra/conf/nginx смотри, потом zmlocalconf и дампни zmprov - может где стоит редирект.

Можешь покопаться в jettydistribution9.3.5.v20151012/etc/zimbra.web.xml на предмет редиректа, а можешь тупо сделать
        ln -s login.jsp мой_сервер
в каталоге jettydistribution9.3.5.v20151012/webapps/zimbra/public/

Всем спасибо за участие и подсказки.

Решило проблему
$ zmprov mcf zimbraWebClientLoginURL ""
$ zmprov md домен.ru zimbraWebClientLoginURL ""

> Понятно будет, если определить так: "Переменная ${ABI} определяет версию и архитектуру
> ОС для подключаемого репозитория"?

Если знать в чём дело, то определение правильно. Если не знать, то определение позволяет начать строить асоциативный ряд, пока без понятия что к чему.

Переменная ${ABI} идентифицирует конкретную бинарную сборку. В ней закодированно название ОС, её версия и архитектура под которую был скомпилирован дистрибутив. Этот идентификатор используется в URL подключаемого репозитория.

${ABI} определяет архитектуру ОС - коротко и ясно

может быть: powerpc64, i386, amd64, mips, mips64, armv7, aarch64 и т.п.

> Диску конец или блоку питания?

Или маме, или кабелю, или контроллеру, или чему то еще.
Как то так. Посмотри где то там.

> Добрый день!
> Подскажите пожалуйста, почему загрузочную флешку для Windows XP x32 SP3 надо делать
> с iso диска через Rufus,
> почему dd if=/home/user1/WXP.iso of=/dev/sdb1 не приносит желаемого результата
> dd if=/dev/cdrom of=/dev/sdb1  так же - флешка не явлется загрузочной.

Ибо образ не гибридный

> Я так понимаю, что тут важна ФС на флешке (NTFS) и запись
> bootable in MBR?
> Поскольку FAT32 и dd результата не дали.

Через dd образ нужно писать не в раздел (sdb1), а на флешку (sdb), это не в случае хр, там свои заморочки.

> В то же время, образ Gparted i686 нормально записывается Rufus с матюком
> на то что лучше использовать ISO режим а не dd и
> нормально работает. При этом образ Gparted - гибридный, в основе debian
> linux live cd.

Сам же и ответил на свой вопрос: образ гибридный.

> Где можно найти информацию, в каких случаях какую утилиту использовать для создания
> загрузочных флешек?
> Для виндовс систем и для линукс систем?
> В чем разница между обычным iso и гибридным?

https://wiki.syslinux.org/wiki/index.php?title=Isohybrid

> Можно ли всегда использовать dd но со специальными параметрами о которых я
> не знаю?

Нет.

> Здравствуйте товарищи АйТи-шники!
> Есть ли такая услуга как "аудит безопасности веб-приложения"?
> Как это вообще происходит? Куда с этим стоит обратиться?
> В идеале - хотелось бы профессионала с кодексом чести :)

заключаете контракт с уважаемой конторой... хоть с Позитив Текнолоджи...

> Здравствуйте товарищи АйТи-шники!
> Есть ли такая услуга как "аудит безопасности веб-приложения"?
> Как это вообще происходит? Куда с этим стоит обратиться?
> В идеале - хотелось бы профессионала с кодексом чести :)

Для аудита сгодится любой хороший программист на том языке, на котором приложение. Лучше несколько в параллель.
Даете исходники, человек смотрит, указывает на дырявые или потенциально проблемные места. На языке иб это вайтбокс тест.
Также нужно проверить, насколько безопасно настроен весь стек для работы приложения (конфиги софта, используемые версии). Обычно дают доступ к сети и серверам.  

Есть вариант, когда делают пентест без доступа к коду и серверам. Это вы можете сами сделать, есть софт, который прогоняет разные эксплойты на указанный порт.

Куда с этим обращаться, зависит от потребностей. Вам нужно заключение от специалистов из известной фирмы или достаточно самой проверки. Какой у вас бюджет на всё. Какова возможная цена пропущенной ошибки.

В случае с фирмами встаёт вопрос цены услуг, а фрилансеры могут быть менее квалифицированны, чем ваши разработчики.
Может иметь смысл сразу (без аудита) поставить команде задачу повышения безопасности приложения, дополнительные валидации, фильтрация контента, настройку WAF, анализ логов(выявление попыток), сборка используемых программ с отключением лишних возможностей, конфигурирование с упором на безопасность и т.д.

Поставил пару лет назад, сложно было сервера рабочие первого яруса найти, добавил в пул, есть-пить не просит

>[оверквотинг удален]
> с клиентских роутеров и прочих cpe-железок которые хотят время выставить внутри
> себя
> А каждый ntp-сервер раз пользуетесь им - это помощь сообществу.
> В настоящий момент в пуле ru - около 110 серверов и хотелось
> чтобы их было больше
> Ничего сложного в этом нет, если есть вопросы - пишите, подскажу
> Собственно, достаточно просто ntpd запустить и прописать надежных несколько серверов со
> stratum1 в файл конфигурации вместо серверов пула (по умолчанию там), проконтролировать
> через ntpq -p что они с маленькой задержкой и jitter и
> добавить в пул через веб интерфейс

какой bandwidth требуется для этого?

1) не пытайся накладывать линуксовые мерки на бсдю, бсд другая совсем, я сам этим страдал пока не понял - что если работаешь с бсд - линуксовые привычки надо просто отбрасывать в сторону и забывать на время работы с бсд.

2) в голом pf можно указывать интерфейс и направление, как там это делается в pfsense, я не в куГсе, юзаю только голую фрю и ipfw.
что-то вроде
pass out on igb0 proto tcp и-далее-по-вкусу

> Здравствуйте,
> Не могу понять аналогию для одного и того же правила в iptables
> и pfSense.

Файрволы linux и bsd устроены по-разному

> Правило в iptables:
> # Enable LAN to WAN forward
> iptables -A FORWARD -i $LANiface -o $WANiface -j ACCEPT

Примерно так это выглядит

rc.conf

gateway_enable="YES"

pf.conf

ext_if="em0"
int_if="em1"

block all
pass out on $ext_if keep state
pass out on $int_if keep state

в bsd нет цепочки forward. У каждого интерфейса есть in и out, что у одного на out, может быть у другого на in и наоборот. Параметр gateway_enable задается либо в rc.conf либо через sysctl, он и определяет, разрешено ли пакетам гулять между интерфейсами (forward)

> Непонятно почему в pf нельзя фильровать пакеты по "получателю" в виде интерфейса,
> а не в виде ip-адреса.

Задачу свою опиши, а то может, опять сову на глобус натягиваешь.

find . -type d -links 2 | while read DIR ; do [ -z $(find "$DIR" -type f -mtime -365) ] && echo "$DIR" ; done ;

Находит все директории без субдиректорий и печатает те, в которых файлы не менялись в последние 365 дней. Проверьте, должно работать.

Разверни задачу.

Найди каталоги, где есть новые файлы. Ты ищешь файлы, поэтому depth = 5+1:

find -mtime -365 -maxdepth 6 -mindepth 6 -type f -print0 | xargs -0 dirname -z | sort -zu

найди все каталоги. Ты ищешь каталоги, поэтому depth = 5:

find -maxdepth 5 -mindepth 5 -type d -print0 | sort -zu

Слей два списка в один и найди тех, кто упомянут только один раз:

sort -z <(find -mtime -365 -maxdepth 6 -mindepth 6 -type f -print0 | xargs -0 dirname -z | sort -zu) \
<(find -maxdepth 5 -mindepth 5 -type d -print0 | sort -zu) | uniq -zu

Для отладки посмотри на эти каталоги:

sort -z <(find -mtime -365 -maxdepth 6 -mindepth 6 -type f -print0 | xargs -0 dirname -z | sort -zu) \
<(find -maxdepth 5 -mindepth 5 -type d -print0 | sort -zu) | uniq -zu | xargs -0 -L 1 echo

И удали их нах.

sort -z <(find -mtime -365 -maxdepth 6 -mindepth 6 -type f -print0 | xargs -0 dirname -z | sort -zu) \
<(find -maxdepth 5 -mindepth 5 -type d -print0 | sort -zu) | uniq -zu | xargs -0 rm -rf

Учти, что если у тебя нет новых файлов, то будут удалены вообще все каталоги.

Плохо зачистили, судя по всему. Других причин не может быть.
Грузитесь с лайв, Secure erase или забивайте нулями.

> Господа, есть две проблемы с монтированием папки NFS есть Windows2012 сервер с
> раcшаренной по NFS папкой монтирую автоматом через fstab в режиме ro
> 10.24.2.20:/pords /srv/pords nfs nolock,bg,tcp,intr,ro,nfsvers=3,sync 0 0
> папка монтируется без проблем, но никто кроме root в неё войти не
> может (прав не хватает) как это поправить?
> вторая проблема извечная - кодировка русских символов. Все файлы вопросниками, пробовал
> играть кодировкой со стороны windows - не помогло

https://forum.ubuntu.ru/index.php?topic=77203.0

Проблему мне уже помогли решить... Код (string) разбивается так:

p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC3611Sad" "frxRDAgOQXaNLnde9/vsuSdeL4a5uy+JcxkCsgfjRiVlD" "9uwZBD+KgG2SkDdZ6+OVndZk3YuOpzmSmzwQz5VXLH5Nh/o2Z3oZnn/zqWtp+eyMaKR1jnznxPNT6/DPvOEWxbNybbNtYlWdHl5qHrzF7BUQdTVV8jGFxrwIDAQAB"

> свич). В каждый установить 120 гиг IDE диск. На каждый -

Чо ты собрался хранить на 120 гигабайтах?

>  Использовать для хранения 1С файловой базы, например, и для мастер-копии небольшого
> фотоархива.

Ой не могу. Ой держите меня.

> Извращение, но интересное.

Да, мсье знает толк...

> Подскажите, как это можно реализовать?

Use Google, Luke... ищи "cluster", "carp", "cepf", "glusterfs"...

> Есть ли инструкции для чайников?

Use Google, Like...

> Какой дистрибутив выбрать?

Какой стоит у знакомого админа.

> или полная безнадега?

С практической точки зрения - полный бред. Держи нас в курсе.

Единственное что могу сказать по теме: все линки на свич. Твою идею я понял: типа 2*100 между нодами и 2*100 от нод, вот только хрен тебе, а не пончик, доступ всеравно в один момент времени будет только к одной ноде, соответственно больше 1*100 всеравно не получишь, а так у тебя оно само будет думать что и куда гнать. Если рассматривать это крайне грубо: на чтении сможешь получить до 3*100 (так как с любой ноды все линки смотрят в сеть), а на записи (3*100)/2 (т.к они при записи будут ещё дублировать эту инфу между собой)

А так то тема интересная: отказоустойчивость не в хранении, а в доступе к инфе в целом. В целях самообразования - самое то, послушаю куда пойдёт и чем закончится

С такой некрофилией, а особенно в связке с "для хранения 1С файловой базы", сразу с ностальгией вспоминается Netware SFT :-) там все это "из коробки". А вот интегрировать это с чем-нибудь современным - неплохой квест.

> И подвернулась тут практическая задача - перенос почтового сервера домой к физику.

Это не практическая задача, это наглядная иллюстрация безумия.

> А провайдер отказывается на физика прописывать PTR запись. Соответственно возникла такая
> идея - перенести текущий HUB transport Exchange на EXIM в VPS.

Поясните, в чем смысл установки почтового шлюза организации на VPS?
У вас нет собственных ресурсов для организации такого фронтенда?

> 2) А не изобретаю ли я велосипед с переносом front почтовика на
> VPS из-за одной PTR записи? Хотя сейчас карантин, можно и поковыряться.
> Это одна из целей как раз))

Если ваша цель поковыряться, то все это реализуемо, и ничего тут особо читать не надо. Нужно просто понимать, как работает почта, и какой вы себе наживете геморрой, следуя таким путем.

Идея пригодна лишь для ДОМАШНЕГО почтовика техногика, единственная цель которого - "поковыряться". Да, оно ладе будет работать, сам такой сделал. Но для организации это несерьезно.

ну так ясно же написано: no shared secret configured.
ipsec ключ надо пихать не в mpd, а в какой-там-у-вас-swan.

> Pre-Shared Key
> aaabbbccc

Никогда! Слышишь, никогда не используй PSK!
Онлей сертификаты!

>[оверквотинг удален]
> Count=1/1 Maskable- 64bit-
>         Capabilities: [a0] Express Root
> Port (Slot+), MSI 00
>         Capabilities: [100] Virtual Channel
>         Capabilities: [140] Root Complex
> Link
>         Kernel driver in use:
> pcieport
> подскажите, пожалуйста, куда копать?
> или сетевая SUN работает только в машинках SUN?

# modprobe igb ?

пробовали драйвер:
https://downloadcenter.intel.com/download/13663/Intel-Networ...

ps. попробуйте в другом PC, а не в HP Compaq.

>Настройки jail.conf:

jail.local конфигов нету или они одинаковые?

Убери мультипорт, оставь только domain и проверь отработает ли.
Если отработает, то возможно, в iptables не включен multiport

Как выглядит gitRepos ?

https://winginx.com/en/htaccess

конечно проверить и откорректировать руками возможно прийдется.