Здравствуйте, AlexNek, Вы писали:
AN>Здравствуйте, AlexNek, Вы писали:
AN>>Здравствуйте, lpd, Вы писали:
lpd>>>Здравствуйте, AlexNek, Вы писали:
AN>>>>Здравствуйте, lpd, Вы писали:
AN>>>>root@vps:/etc# iptables -F AN>>>>зависла на последней строке
lpd>>>Если ты из ssh работаешь, скорее всего что-нибудь вроде NAT отключилось, поэтому повисло. lpd>>>Попробуй iptables -L, и смотри подозрительные REJECT правила с порта 80. Но я не большой спец по настройке iptables, если в нем дело. AN>>Да только по SSH и могу. Сейчас уже всё зависло, никуда не зайти, ничего не открыть. Бум искать способ перегрузки у провайдера AN>Абзац, внешняя перегрузка не помогает.
Можно загрузится в Rescue mode и что-то изменить исключительно из командной строки (даже без мс ). Как восстановить теперь этот firewall? Всегда делал через морду Webmin-а
Здравствуйте, AlexNek, Вы писали:
AN>Можно загрузится в Rescue mode и что-то изменить исключительно из командной строки (даже без мс ). Как восстановить теперь этот firewall? Всегда делал через морду Webmin-а
Здравствуйте, lpd, Вы писали:
lpd>Здравствуйте, AlexNek, Вы писали:
AN>>Можно загрузится в Rescue mode и что-то изменить исключительно из командной строки (даже без мс ). Как восстановить теперь этот firewall? Всегда делал через морду Webmin-а
lpd>systemctl enable firewalld lpd>systemctl start firewalld
Похоже что этого было недостаточно
Вот это оказалось самой главной строкой, без неё сервер даже не пинговался.
iptables -A INPUT -i lo -j ACCEPT
+еще включил всё по умолчанию, забыл записать как.
Затем уже вышел на вебморду и нашел сохраненный конфиг.
Уфф, пришёл к первоначальному состоянию
telnet google.com 80
выдаёт "Unable to connect to remote host: Network is unreachable"
Здравствуйте, AlexNek, Вы писали:
AN>Здравствуйте, lpd, Вы писали:
AN>Вот это оказалось самой главной строкой, без неё сервер даже не пинговался. AN>
AN>iptables -A INPUT -i lo -j ACCEPT
AN>
AN>+еще включил всё по умолчанию, забыл записать как.
Странно что при перезагруке настройки iptables сохранились.
AN>Затем уже вышел на вебморду и нашел сохраненный конфиг.
AN>Уфф, пришёл к первоначальному состоянию AN>
AN>telnet google.com 80
AN>
AN>выдаёт "Unable to connect to remote host: Network is unreachable"
Может по-умолчанию соединения запрещены. Попробуй разрешить http/https:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -t filter -p tcp --dport http -j ACCEPT
iptables -A OUTPUT -t filter -p tcp --dport https -j ACCEPT
iptables -A OUTPUT -t filter -p udp --dport https -j ACCEPT
Еще можно просто разрешить все соединения по-умолчанию:
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
У сложных вещей обычно есть и хорошие, и плохие аспекты.
Берегите Родину, мать вашу. (ДДТ)
Здравствуйте, AlexNek, Вы писали:
AN>Начну с того что с никсами я практически не работаю.
Это плохо.
AN>Раньше для обновления было всё просто "apt-get update'
Вам сильно везет.
AN>А теперь появляется куча ошибок, типа:
Я в комментах краем глаза увидел, что всяческие утилиты пытаются сконнектиться через IPv6.
Скорее всего, проблемы растут из того, что IPv6 у вас не настроен. "Неправильно настроенный IPv6 хуже, чем отключенный IPv6" (c) некий мануал.
Я бы для начала отключил IPv6:
Открываем в редакторе /etc/sysctl.conf и добавляем в хвост:
# Disable ipv6
net.ipv6.conf.all.disable_ipv6 = 1
Далее в командной строке отключаем IPv6 (под рутом, ясен пень):
sysctl -w net.ipv6.conf.all.disable_ipv6=1
Это чтоб не перезагружаться как лох.
Теперь переходим к списку репозиторий.
AN>Через веб интерфейс таких ошибок не показывает, но тоже не хочет обновляться. AN>Народ посоветовал обновить систему AN>Но тоже не получается
Джесси уже не поддерживается, поэтому репозитория его пакетов переехала в архив.
Но если вы апгрейдитесь на девятку (stretch), то в /etc/apt/sources.list прописываете:
# Stretch sources.
deb http://ftp.debian.org/debian stretch main contrib non-free
deb-src http://ftp.debian.org/debian stretch main contrib non-free
deb http://ftp.debian.org/debian stretch-updates main contrib non-free
Non-free (последняя строка) нужен, если надо ставить что-нибудь проприетарное типа нвидиевских драйверов.
AN>deb http://httpredir.debian.org/debian stretch main contrib non-free
А вот это надо сразу удалять. Даже для нового дебиана 10 (buster) написано, что httpredir — экспериментальная фича и может не работать.
AN>Куда рыть?
1. Отключаете IPv6.
2. Меняете sources.list на приличествующий для 9-й версии
3. apt clean (на всякий случай)
3. apt update (должен ссосать свежие списки пакетов и сказать, что многопакетов можно заапгрейдить)
4. apt dist-upgrade (шибко-шибко помолясь*)
* "помолясь" — значит, после того, как вы сделали бэкапы** всего-всего ценного, что есть у вас в системе.
** бэкапы надо делать на внешний носитель, а не унутре системы.
Здравствуйте, AlexNek, Вы писали:
AN>Уфф, пришёл к первоначальному состоянию AN>выдаёт "Unable to connect to remote host: Network is unreachable"
1. Похожая проблема была, думал проблемы с сетью.
Оказалось файловая система была повреждена и переключилась в read-only режим.
Убедись, что флаг rw стоит, а не ro:
mount | grep " / "
2. Работают ли:
ping 8.8.8.8
ping google.ru
3. Если тебя выкинуло из SSH в процессе обновления, то обновление прерывается.
Что избежать этого, внутри SSH желательно работать с помощью программ screen или tmux.
Если соединение разорвется, то можно будет переподключиться и продолжить работу.
Здравствуйте, lpd, Вы писали:
lpd>Здравствуйте, AlexNek, Вы писали:
AN>>Здравствуйте, lpd, Вы писали:
AN>>Вот это оказалось самой главной строкой, без неё сервер даже не пинговался. AN>>
AN>>iptables -A INPUT -i lo -j ACCEPT
AN>>
AN>>+еще включил всё по умолчанию, забыл записать как.
lpd>Странно что при перезагруке настройки iptables сохранились.
Похоже это Webmin CSF делает
AN>>Затем уже вышел на вебморду и нашел сохраненный конфиг.
AN>>Уфф, пришёл к первоначальному состоянию AN>>
AN>>telnet google.com 80
AN>>
AN>>выдаёт "Unable to connect to remote host: Network is unreachable"
lpd>Может по-умолчанию соединения запрещены. Попробуй разрешить http/https: lpd>iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT lpd>iptables -A OUTPUT -t filter -p tcp --dport http -j ACCEPT lpd>iptables -A OUTPUT -t filter -p tcp --dport https -j ACCEPT lpd>iptables -A OUTPUT -t filter -p udp --dport https -j ACCEPT
lpd>Еще можно просто разрешить все соединения по-умолчанию: lpd>iptables -P INPUT ACCEPT lpd>iptables -P OUTPUT ACCEPT
Нашел, когда сказали проверить разные сервера.
Обновился даже до Дебиана 9, но теперь новая проблема — почта перестала работать, хоть я ему "сказал" конфиги почты оставить без изменений.
Здравствуйте, Буравчик, Вы писали:
Б>Здравствуйте, AlexNek, Вы писали:
AN>>Уфф, пришёл к первоначальному состоянию AN>>выдаёт "Unable to connect to remote host: Network is unreachable"
Б>1. Похожая проблема была, думал проблемы с сетью. Б>Оказалось файловая система была повреждена и переключилась в read-only режим.
Б>Убедись, что флаг rw стоит, а не ro: Б>
Б>mount | grep " / "
Б>
не, в порядке было
Б>2. Работают ли: Б>
Б>ping 8.8.8.8
Б>ping google.ru
Б>
*.ru у меня в черном списке вместе с китайцами и индусами, наибольшее количество атак оттуда.
Б>3. Если тебя выкинуло из SSH в процессе обновления, то обновление прерывается. Б>Что избежать этого, внутри SSH желательно работать с помощью программ screen или tmux. Б>Если соединение разорвется, то можно будет переподключиться и продолжить работу.
Да screen попробовал, только с pager-a выходил минут 10
Здравствуйте, AlexNek, Вы писали:
AN>*.ru у меня в черном списке вместе с китайцами и индусами, наибольшее количество атак оттуда.
По домену или по geoip? По какой именно geoip если да?
Какого вида атаки в вас устраивали сайты?
Здравствуйте, Sheridan, Вы писали:
S>Здравствуйте, AlexNek, Вы писали:
AN>>*.ru у меня в черном списке вместе с китайцами и индусами, наибольшее количество атак оттуда. S>По домену или по geoip? По какой именно geoip если да? S>Какого вида атаки в вас устраивали сайты?
по geoip скорее всего, так ка на входе домены
У вебмина есть статистика откуда больше всего "проблем" и там же есть возможность запретить "проблемную" группу.
Что он там считает как то не сильно интересовало, хотя и подбор логина тоже непорядок.
Что изменилось у 9 Дебиана с почтой? Пока еще не успел поискать, но впереди выходные
Здравствуйте, Буравчик, Вы писали:
Б>Здравствуйте, AlexNek, Вы писали:
AN>>*.ru у меня в черном списке вместе с китайцами и индусами, наибольшее количество атак оттуда.
Б>
Здравствуйте, AlexNek, Вы писали:
AN>Что изменилось у 9 Дебиана с почтой? Пока еще не успел поискать, но впереди выходные
В смысле — с почтой? У тебя свой почтовый сервер?
Здравствуйте, Sheridan, Вы писали:
S>Здравствуйте, AlexNek, Вы писали:
AN>>Что изменилось у 9 Дебиана с почтой? Пока еще не успел поискать, но впереди выходные S>В смысле — с почтой? У тебя свой почтовый сервер?
Dovecot+postfix
Оказалось просто
UIDL format — нужно было внести в конфиг, а после уже можно было менять конфигурацию через вебморду — изменил фиксированный путь на "искать путь к почте автоматом" и все пошло
остались разные мелочи
perl: warning: Setting locale failed.
perl: warning: Please check that your locale settings:
LANGUAGE = (unset),
LC_ALL = (unset),
LANG = "en_US.UTF-8"
are supported and installed on your system.
perl: warning: Falling back to the standard locale ("C").
А... еще вопрос остался вроде уже дебиан 10 есть. Обновлятся или нет?
Здравствуйте, Хреннос, Вы писали:
Х>Здравствуйте, AlexNek, Вы писали:
AN>>Начну с того что с никсами я практически не работаю. Х>Это плохо.
А почему плохо? На работе не нужно, дома тоже. Только когда выбора нет
AN>>Раньше для обновления было всё просто "apt-get update' Х>Вам сильно везет.
Всегда так было, странное каок то везение
AN>>А теперь появляется куча ошибок, типа:
Х>Я в комментах краем глаза увидел, что всяческие утилиты пытаются сконнектиться через IPv6. Х>Скорее всего, проблемы растут из того, что IPv6 у вас не настроен. "Неправильно настроенный IPv6 хуже, чем отключенный IPv6" (c) некий мануал. Х>Я бы для начала отключил IPv6:
Не, проблемы были в правилах "защиты".
Х>Открываем в редакторе /etc/sysctl.conf и добавляем в хвост: Х># Disable ipv6 Х>net.ipv6.conf.all.disable_ipv6 = 1
Х>Далее в командной строке отключаем IPv6 (под рутом, ясен пень): Х>sysctl -w net.ipv6.conf.all.disable_ipv6=1
Х>Это чтоб не перезагружаться как лох.
Х>Теперь переходим к списку репозиторий.
AN>>Через веб интерфейс таких ошибок не показывает, но тоже не хочет обновляться. AN>>Народ посоветовал обновить систему AN>>Но тоже не получается
Х>Джесси уже не поддерживается, поэтому репозитория его пакетов переехала в архив. Х>Но если вы апгрейдитесь на девятку (stretch), то в /etc/apt/sources.list прописываете:
Х>
Х># Stretch sources.
Х>deb http://ftp.debian.org/debian stretch main contrib non-free
Х>deb-src http://ftp.debian.org/debian stretch main contrib non-free
Х>deb http://ftp.debian.org/debian stretch-updates main contrib non-free
Х>
Х>Non-free (последняя строка) нужен, если надо ставить что-нибудь проприетарное типа нвидиевских драйверов.
AN>>deb http://httpredir.debian.org/debian stretch main contrib non-free
Х>А вот это надо сразу удалять. Даже для нового дебиана 10 (buster) написано, что httpredir — экспериментальная фича и может не работать.
Это в примерах было, на сайт не успел перенести
AN>>Куда рыть?
Х>1. Отключаете IPv6. Х>2. Меняете sources.list на приличествующий для 9-й версии Х>3. apt clean (на всякий случай) Х>3. apt update (должен ссосать свежие списки пакетов и сказать, что многопакетов можно заапгрейдить) Х>4. apt dist-upgrade (шибко-шибко помолясь*)
Х>* "помолясь" — значит, после того, как вы сделали бэкапы** всего-всего ценного, что есть у вас в системе. Х>** бэкапы надо делать на внешний носитель, а не унутре системы.
Спасибо, с 9-кой пронесло.
Теперь следующая проблема — обновлятся ли до 10-ки? С одной стороны надо
А с другой стороы боязно:
The package phpmyadmin is not included in buster.
Migrating from legacy network interface names (eth0 - not supported in D10)
Здравствуйте, AlexNek, Вы писали:
AN>А... еще вопрос остался вроде уже дебиан 10 есть. Обновляться или нет?
Нет. Я и обновлялся с 9-ки, и ставил 10-ку с нуля. Но даже после последнего у меня отваливалась сетевуха. Причём после установки с нуля это происходило не сразу, а после доустановки некоторых пакетов. Может уже исправили, но лично я бы приготовился к фейлу. 9-ка сейчас находится на пике стабильности и не особо устарела, тогда как 10-ка ещё пилится.
И ещё добавлю, что в 6-ке, 7-ке, 8-ке, я видел лишь улучшения от версии к версии. 9-ка немного разочаровала на выходе, но потом её как и предыдущие версии допилили, плюс я к ней привык. Тем не менее кое какие пакеты из неё исчезли. То есть, конечно, можно перейти на 10-ку, которая следовала подобным негативным тенденциям, но лучше тогда заранее иметь план отката на 9-ку, на всякий пожарный.
Здравствуйте, velkin, Вы писали:
V>Здравствуйте, AlexNek, Вы писали:
AN>>А... еще вопрос остался вроде уже дебиан 10 есть. Обновляться или нет?
V>Нет. Я и обновлялся с 9-ки, и ставил 10-ку с нуля. Но даже после последнего у меня отваливалась сетевуха. Причём после установки с нуля это происходило не сразу, а после доустановки некоторых пакетов. Может уже исправили, но лично я бы приготовился к фейлу. 9-ка сейчас находится на пике стабильности и не особо устарела, тогда как 10-ка ещё пилится.
то бишь годик, два подождать? Один же фиг прийдется. А сейчас вроде хоть чуток въехал.
Вот именно отвал сетвухи и пугает, eth0 же запретили. Но если с нуля падает, тогда
V>И ещё добавлю, что в 6-ке, 7-ке, 8-ке, я видел лишь улучшения от версии к версии. 9-ка немного разочаровала на выходе, но потом её как и предыдущие версии допилили, плюс я к ней привык. Тем не менее кое какие пакеты из неё исчезли. То есть, конечно, можно перейти на 10-ку, которая следовала подобным негативным тенденциям, но лучше тогда заранее иметь план отката на 9-ку, на всякий пожарный.
А как его поимент на VPS машине?
Сейчас правда хочу виртуал-бох версию подходящуюю найти и поиграться.
Здравствуйте, AlexNek, Вы писали:
Х>>Это плохо. AN>А почему плохо? На работе не нужно, дома тоже. Только когда выбора нет
Плохо в том смысле, что нет опыта хождения по граблям. А так-то да, ничего стращного.
AN>Спасибо, с 9-кой пронесло. AN>Теперь следующая проблема — обновлятся ли до 10-ки? AN>С одной стороны надо
Я обновлялся. Да, пришлось слегка заморочиться, но потом стандартное apt update — apt dist-upgrade.
AN>А с другой стороы боязно:
AN>
AN>The package phpmyadmin is not included in buster.
AN>Migrating from legacy network interface names (eth0 - not supported in D10)
AN>
Насчет phpmyadmin не знаю. Если очень нужен, то можно, наверное, как-то поставить потом.
А вообще лично у меня впечатления от перехода на 32-битную дебиан-десятку не очень: такое впечатление, что часть драйверов заброшена в 32-битной версии (nvidia, например — поставился древний legacy и страшно глючил).
Пришлось переставлять систему и накатывать 64-битный дебиан. Апгрейдить систему с 32 бит на 64 — тот еще квест. Я дошел до ситуации, когда на любую команду apt выводит простыню неудовлетворенных зависимостей, и забил.
