顯示文章

這裡允許您檢視這個會員的所有文章。請注意, 您只能看見您有權限閱讀的文章。


文章 - Squawell

頁: [1] 2
1
封包收一下 , 看看 fortigate 要什麼格式
印象中這滿難的 ... 要比對到知道兩邊指令差異
這對小弟還真是個大挑戰@@"...部過仍不失個可以嘗試的方向~

另外小弟又測試了採取本文格式讀取LDIF檔案來查詢~不過始終只傳回最上頭的第一筆資料而已~難不成這種方式只能替每筆資料產生單獨的檔案??


2
原由跟這篇有關:http://phorum.study-area.org/index.php/topic,71527.0.html

小弟現在的做法是中間放一台LDAP(機器A)透過這台去跟後端的sun one directory(機器B)做查詢....透過ldapsearch -x -h <機器A_IP> -D "cn=Manager,dc=example,dc=local" -b "dc=example,dc=local" -wsecret是可以查詢出資料的..

但是在實際上要認證的設備上(fortinet 3106B)~會出現如同標題的錯誤~經GOOGLE後發現問題為機器B不支援分頁(https://tools.ietf.org/html/rfc2696#ref-LDAPv3)...不曉得該怎麼做可以把機器A的分頁功能關閉或是有其他的做法資料可參考嗎??

感謝大家幫忙~

3
大家好, 第一次發問, 如有不適之處請多指教,
狀況描述:
區域網路已經有1個的windows 2003 ad 網域, 網域名稱例如叫 xyz.com
然而因為xyz.com太熱門早就被搶走, 註冊不到xyz.com這個域名, 所以選擇另一個叫xyzgg.com
用Centos 7架了iredmail opensource版當mail server, 用來收xyzgg.com這個網域的信件, 因為是免錢版所以沒有建Group mail功能, 參考了一些document, 也成功讓iredmail與ad用ldap整合,
webmail可以順利的用ad帳號登入, 不用在Centos與iredmail另外建立, 也撈到ad的user&group
不過我在傷腦筋的一個問題, 如果這樣的話, 來做郵件的收發信帳號查核
會不會因為因為這郵件xyzgg.com網域與AD網域xyz.com不同的關係, 導致無法收信與發信, 還是說, 只要AD使用者帳號裡面的email欄位是xyzgg.com就不會有這個問題,
如果又剛好註冊到xyzggininder.com.tw這個網域名稱, 也想用這個帳號來收信, 會不會不能收信
不曉得有沒有人有這方面的經驗, 更動ad應該是不太可能, 或是有沒有更好的解決方式
感謝感謝
小弟沒記錯的話~這套程式跟AD整合就是抓email欄位中的值喔.....

4
首先感謝以上學長的建議也提供了小弟另一個思考的方向 ;D ;D

在小弟嘗試三子學長的意見透過搜索的方式查詢可以查出所要的相關訊息~但是發現沒有使用者密碼的部份
不曉得這是不是因為用匿名方式查詢的關係??(目前問不到相關密碼)小弟會在詢問到密碼後在做一次測試看看

5
大家好:
          小弟最近遇到一個問題就是要將sun directory server 5.2的資料匯至另一台LDAP(Centos 6.7)中.....有幾個問題想請大家給予方向及指教:
1.在裝好OPENLDAP後需要像網路上的教學那樣先做好基本的LDIF檔來建立基本的環境嗎?
2.因從sun directory server中匯出的LDIF檔有蠻多屬性與OPENLDAP不相符~所以可以只倒出使用者帳號及密碼即可嗎??

以上還請大家給予指教謝謝~

6
Linux 討論版 / Re: squid內部特定網段ByPASS
« 於: 2014-09-12 09:06 »
感謝netman學長的指導︿︿

小弟我在測試看看


7
想請教各位學長一個問題,小弟目前有個做透通代理的squid,然後二張網卡做橋接模式連接firewall跟router然後使用以下的iptables
代碼: [選擇]
$IPTABLES -t nat -A PREROUTING -i br0 -p tcp --dport 80 -j REDIRECT --to-port 3128
$IPTABLES -I INPUT -s $LANIPS -p tcp --dport 3128 -j ACCEPT
但現在有一個問題想排除Server Farm網段不經由squid的埠號轉導(80->3128)那該怎麼修改以上的代碼呢??還請大家給予指教~謝謝


補充說明:
防火牆上有筆靜態路由192.168.0.0/16 --> squid IP
squid 上有筆靜態路由將192.168.0.0/16 --> router IP
squid本身的GW設定為防火牆IP

更新:
在使用過netman學長的規則後~目前運作正常(內部)...唯一目前遇到比較棘手的問題是有台機器是對外服務的...
使用者登入後會在轉到另一個IP的系統上繼續運作....但是從外部連線進來的人員就會出問題~但是透過內部連線是正常的.....
不知道這樣子使不適規則少了什麼所導致的??還請知道的學長賜教~感激不盡^^


1030917更新:
目前問題已排除...
squid預設路由指向防火牆
router跟防火牆的路由都沒變更採原設定值
squid上加上一筆192.168.0.0/16往192.168.1.254的router送
代碼: [選擇]
$IPTABLES -t nat -A PREROUTING -i br0 -p tcp --dport 80 -m iprange --src-range 192.168.2.0-192.168.254.254-j REDIRECT --to-port 3128
這樣子後就都解決了~不過後續還要觀察看看有無其他狀況

1031003更新:
請教各位學長,再上述的1030917的作法後大致上沒有問題,唯在防火牆上有一現象不解可見附件圖示,只要是用戶端的目的埠號是80的都轉成squid本身的IP出去,小弟猜想應該是iptables規則上使用了 nat,不曉得在這部份該怎麼樣處理才能讓用戶端目的是埠號80的都帶自己的IP資訊呢??謝謝大家





8
try using mynetworks_style or mynetworks
不好意思在請教一下~小弟的狀況是外部的郵件主機寄信過來的問題..這個設定也可以嗎??

9
不好意思又來請教各位學長了......

在postfix上該如何設定允許特定來源的機器能繞過reject_non_fqdn_hostname參數的設定(在不取消該參數下)..


10
relayhost =
感謝netman老大的指點~^^

11
如題想請教各位學長....原本的postfix該如何修改才能讓信透過該台mailgateway出去呢??謝謝

12
建議樓上去google爬一下那些設定的意思

用意是阻擋垃圾信

smtpd_recipient_restriction 是檢查收件人欄位 (比較正確的說法是在 RCPT TO 時做檢查)

permit_sasl_authenticated
允許通過 sasl 驗證的寄件者

permit_mynetworks
允許 mynetwork ,這是自己設定的,通常是內部網段或特定的 MAIL SERVER IP
小弟有先google過~只是不明白之前在設定的時候並沒有發現結尾有加上permit這個單字~
但是最近的google卻發現大部分都有在結尾加上permit這個單字才想說是新版本有這樣設定嗎??
因為小弟沒那樣設定一樣是可以運作沒錯誤產生....還請知道的學長釋疑一下...謝謝^^

13
既然是 postfix,研究一下下列的設定:

smtpd_recipient_restrictions =
        permit_sasl_authenticated
        permit_mynetworks
        reject_invalid_hostname
        reject_non_fqdn_sender
        reject_non_fqdn_recipient
        reject_unknown_sender_domain
        reject_unknown_recipient_domain
        reject_unlisted_sender
        reject_rbl_client bl.spamcop.net
        reject_rbl_client xbl.spamhaus.org
        reject_unauth_destination

可以省掉很多麻煩。
不好意思請教一下小弟查了一些資料google一下發現大部分最後結尾的地方都會在加上permit.....不知道是否世新版本需要這樣設定還是其他的原因?
謝謝︿︿

14
引用
Aug 26 20:41:23 mail postfix/qmgr[32052]: E4B7BF39A2: to=<callme@gmaill.com>, relay=none, delay=395806, delays=395786/20/0/0, dsn=4.4.3, status=deferred (delivery temporarily suspended: Host or domain name not found. Name service error for name=gmaill.com type=MX: Host not found, try again)

引用
Aug 18 07:01:32 mail postfix/qmgr[2829]: 14FE01D41C1: to=<callme@aol.com>, relay=none, delay=78024, delays=78023/0.01/0/0, dsn=4.0.0, status=deferred (delivery temporarily suspended: host mailin-01.mx.aol.com[205.188.159.42] refused to talk to me: 554 mtain-dk05.r1000.mx.aol.com ESMTP not accepting connections)

看起來你的郵件伺服器 遇到了垃圾信件,然後在努力的退信。
小弟目前的做法是把在/var/spool/postfix/deferred/底下的所有目錄都刪除,觀察LOG就比較沒再出現這些退信的資訊.....
不知有無方法可以找出有問題的帳號?或是postfix中可以怎麼設定會減少此類情況發生?
再次感謝^^

我們沒辦法主動去阻止這類的攻擊,但是依靠每天系統發出的LOG,可以觀察到系統重試的狀況,大概每天看個一兩次其實也就差不多了....

因為我們不太能確定敵人是故意的 DDOS 攻擊,或者是打錯字,網域錯誤,亦或者是對方主機離線關機維修中?
恩恩.....目前將上一篇中提到的目錄下的檔案刪除之後~maillog紀錄中該訊息就已經很少出現了....

另外請教如要在mail server上如何將使用者寄去某特定網域給禁止掉??

謝謝

15
引用
Aug 26 20:41:23 mail postfix/qmgr[32052]: E4B7BF39A2: to=<callme@gmaill.com>, relay=none, delay=395806, delays=395786/20/0/0, dsn=4.4.3, status=deferred (delivery temporarily suspended: Host or domain name not found. Name service error for name=gmaill.com type=MX: Host not found, try again)

引用
Aug 18 07:01:32 mail postfix/qmgr[2829]: 14FE01D41C1: to=<callme@aol.com>, relay=none, delay=78024, delays=78023/0.01/0/0, dsn=4.0.0, status=deferred (delivery temporarily suspended: host mailin-01.mx.aol.com[205.188.159.42] refused to talk to me: 554 mtain-dk05.r1000.mx.aol.com ESMTP not accepting connections)

看起來你的郵件伺服器 遇到了垃圾信件,然後在努力的退信。
小弟目前的做法是把在/var/spool/postfix/deferred/底下的所有目錄都刪除,觀察LOG就比較沒再出現這些退信的資訊.....
不知有無方法可以找出有問題的帳號?或是postfix中可以怎麼設定會減少此類情況發生?
再次感謝^^

16
小弟目前在 /var/spool/postfix/deferred/目錄下有找到一些資料...代號跟上一篇中的紅色標記起來的代號一樣.....

我想應該是可以從這邊下手去分析看看......

也想請教在這個目錄的郵件是什麼意思?發不出去還是??

還請大家給予指教~謝謝

17
大家好:
          小弟發現最近在MAIL上發現大量如下的LOG紀錄
代碼: [選擇]
Aug 26 20:41:23 mail postfix/qmgr[32052]: [color=red]E4B7BF39A2[/color]: to=<[color=green]callme@gmaill.com[/color]>, relay=none, delay=395806, delays=395786/20/0/0, dsn=4.4.3, status=deferred (delivery temporarily suspended: Host or domain name not found. Name service error for name=gmaill.com type=MX: Host not found, try again)
代碼: [選擇]
Aug 18 07:01:32 mail postfix/qmgr[2829]: 14FE01D41C1: to=<[color=green]callme@aol.com[/color]>, relay=none, delay=78024, delays=78023/0.01/0/0, dsn=4.0.0, status=deferred (delivery temporarily suspended: host mailin-01.mx.aol.com[205.188.159.42] refused to talk to me: 554 mtain-dk05.r1000.mx.aol.com ESMTP not accepting connections)
其中綠色的地方會變換不同的網域名稱........

不知道這是何原因引起的??從上面資訊能找出是哪個帳號在做發信的動作嗎??小弟只看到TO並沒有發現有FROM的資訊在上面??

還請大家指教~謝謝

18
大家好:
          小弟目前手邊有二台HP 8埠的brocade的san switch,因目前線上的24埠san switch僅剩下一埠未用想要extend出來(類似一般的網路switch串接...),但是不知道san switch可以像一般的switch那樣做串接嗎??
          如果可以小弟該怎麼操作呢??還請有經驗的學長們給點方向.....謝謝....

19
網頁技術 / Re: 排班表畫面編排疑問
« 於: 2013-03-12 16:52 »
不好意思回覆晚了......

首先先感謝2位學長的指導讓我有個大致上的方向.......

1F所提之疑問現已獲得解決........

再次感謝...謝謝^^

20
網頁技術 / 排班表畫面編排疑問
« 於: 2013-03-08 14:15 »
標題有點不知道該怎麼形容...是這樣子的....小弟要在電腦螢幕上顯示1024X768大小的排班表.目前有幾個問題想請教大家:
1.全螢幕顯示不會有scrollbar的部位?
2.現有一個1024X768大小的圖片..其中版面上有的資料皆預先打在圖片上..其他的部位(每日值班人員)透過動態方式顯示在相對應的位置..程式打算用PHP+MYSQL來做...但是毫無頭緒不知可否指點方向??
3.班表上的人名資料顯示必須由上而下而不是由左而右..這部分不知道該怎麼做才比較適當??

以上問題還請各位學長指教...謝謝


21
是阿...利用LVM的特性來延展空間...我想這樣的做法應該是可行的..只是不知道效能如何??及可能發生的問題為何?謝謝^^

假設C原本可以直接存取B storage(C<->B),會變成C<->A<->B,至少LAN的traffic會倍增,只是一般server都有1port的NIC,就看LAN要怎麼切吧 :) :)....
我現在的做法是B直接對A...A再提供ISCSI的服務給ESXI的機器使用........
二台伺服器的二張網卡都做合併網卡的設定..A上面再多增加二張網卡來跟B做連接用...這是我最理想的方案

但是要是無法再生出二張網卡....只好都串接到SWITCH上做連接了.....
目前的做法為:A--eth0<--> B eth0(互接且單獨的網段)..然後A跟B剩餘的網卡接到SWITCH上...
B做ISCSI主機端A做ISCSI的客戶端...二邊的硬碟為LVM的格式
在A上連接B提供出來的ISCSI的硬碟並格式化為LVM的格式後加入A的VG中並EXTEND.....
方案1.A提供ISCSI的服務
方案2.A提供NFS的服務

目前測試的結果:
方案1.在ESXI上感覺ISCSI卡卡的....掛載沒問題但是要卸除的時候會跑很久
方案2.在ESXI上掛載挺快的卸除也挺OK的

目前想到一個問題,日後VM使用該空間的狀態下~由於是LVM的方式線上延展空間大小沒有問題,如果對此空間做縮減或是更換硬體的動作,
勢必要有umount的動作,但是正在線上的VM不大可能有停機的機會...這樣就有些困擾了....

不知道大家有無可比較好處理這個問題的方法?不知這個網站 http://www.gluster.org 可解決我想到的問題嗎?有實作經驗的人有辦法解惑一下嗎?

謝謝...

22
是阿...利用LVM的特性來延展空間...我想這樣的做法應該是可行的..只是不知道效能如何??及可能發生的問題為何?謝謝^^

假設C原本可以直接存取B storage(C<->B),會變成C<->A<->B,至少LAN的traffic會倍增,只是一般server都有1port的NIC,就看LAN要怎麼切吧 :) :)....
我現在的做法是B直接對A...A再提供ISCSI的服務給ESXI的機器使用........
二台伺服器的二張網卡都做合併網卡的設定..A上面再多增加二張網卡來跟B做連接用...這是我最理想的方案

但是要是無法再生出二張網卡....只好都串接到SWITCH上做連接了.....

23
這好像是由a做controller,然後將b的空間加入,未來若要擴充,可以方便的在加入其他空間
是阿...利用LVM的特性來延展空間...我想這樣的做法應該是可行的..只是不知道效能如何??及可能發生的問題為何?謝謝^^

24
小弟突然有個想法...就是AB主機當ISCSI的主機端..然後A掛載B的ISCSI分享的空間..然後再把B分享出來的空間再A上面格式化成LVM的格式...
加入到A預計要分享出來的空間..這樣到ESXI上面的話應該就會只看到一個ISCSI的儲存設備但是空間大小是A+B的大小....不知道學長們覺得這樣OK嗎?
若是OK有無需要特別注意的地方??希望再給小弟一些建議...謝謝^^

25
有個想法,但不知有沒有辦法成功

用hadoop的file system,將兩個server的空間視為同一個,接著在做iscsi target
看起來有點複雜的樣子=.="~~還有其他建議的方案可以參考嗎?謝謝  ;D

26
我同事最近有介紹一個SvSAN,還沒研究,不知是不是你要的!!
這個好像是要錢的~不知道還有其他的方案可以做到嗎??謝謝

27
Virtualization 虛擬化技術 / 二台ISCSI之疑問
« 於: 2012-11-11 22:17 »
各位學長:
            小弟有個疑問想跟大家請教希望能指點迷津,小弟有二台DELL 2950的機器...各有6顆硬碟..目前的想法是各自做ISCSI target預計要提供ISCSI服務給ESXI的機器,
            那不知有何作法(比較好的方案)可以將二台的容量做合併.讓ESXI的機器上只看到一個ISCSI target(容量是二台的加總)...該怎麼做是比較合適的方案??謝謝...........

PS:如果發錯區域在麻煩管理人員移至正確的區塊^^

28
今天通過RHCSA的考試了^_^........下午剛考完~晚上馬上就知道了真快~~~
可以繼續準備RHCE的考試了^^

29
HELLO!!!

1. 沒有錯,考試所作的操作完全都是在KVM上面,實體機不會去動到,安裝系統現在已經不會考了(聽說很久以前會 = =a)
2. RHCSA的重點不在iptables和selinux,但是會牽涉到一點點點點,但是RHCE就是重點的一部份囉!!!
HELLO 你好:
先謝謝你的回答....關於第二點所以在考試中可以把這些服務關掉是嗎?尤其是iptables這部分......^^"

30
大家好小弟最近要準備RHCSA的考試但是有幾個疑問想跟大家請教:
1.聽說考試是在實體機器中的虛擬機中操作....那需要自己安裝系統嗎?因為小弟目前在研讀的一本原文書的前面章節,都在說怎麼使用KVM來安裝系統..
2.防火牆的服務及SELINUX需要在開啟的狀態下操作嗎??

以上謝謝大家^^"

頁: [1] 2