Нарушена последовательность пакетов

У нас есть корпоративный спам-фильтр. Мы покупали его без аппаратного сервера, поэтому устанавливали на что было. Сначала у нас был какой-то самосборный комп — на него eSafe установился. Потом IBM-овский сервер, на него eSafe не встал, то есть встал в виртуальной машине внутри более другого линукса. eSafe основан на 4-й или 5-й (старинной) версии RedHat.
Через некоторый аптайм начинает спам валить из все щелей. Изучение вопроса показало, что сервер начинает переставать связываться с сервером онлайн-репутации. Изучение этого вопроса показало, что корпоративный firewall режет эти пакеты с диагнозом «нарушена последовательность пакетов». Продавец eSafe говорит, что не будет заниматься этой проблемой, пока мы купили только софт без сервера.
В качестве ещё одной подсказки выступает то, что и на первом сервере (самосборный WS) и на виртуальной машине внутри IBM-овского сервера — проблема одна и та же. Мы даже cron написали, который перегружает каждую ночь сервер (только виртуальую машину).
Куда искать?

Установка zabbix на eSafe

Я не помню как я установил его впервые на старом-старом сервере. Скачанные на новый сервер rpm-ки выпадали из-за крайней неудовлетворённых зависимостей. Я пошел по очень трусливому пути — перенёс агент zabbix со старого сервера на новый руками. Читать далее

Настройка маршрутизации закончена!

Собственно, после настройки сервер всё равно не мог отправлять почту. Меня это расстраивало, а сервер копил в себе мегатонны тестовых писем, но не отдавал их дальше. Я включил опцию LOG на iptables и dmesg показал мне, что у меня по 25-му порту 10.0.0.1 пытается соединиться с 10.0.0.1. Я немного пободался с командами iptables, у меня всё получилось, а потом (что бы не отключать навключенные логи) тупо подредактировал строку в файле /etc/sysconfig/iptables.myown

-A PREROUTING -p tcp -m tcp ! -s 10.0.0.0/24 —dport 25 -j DNAT —to-destination 10.0.0.1

И перезагрузился. Почта пошла! Уррра!

Итак, финальное: виртуальная машина eSafe, проброс портов, настройка маршрутизации

1) С теми, кто делает reject до моих пробрасывающих правил, я не разобрался, поэтому загнал болезнь вовнутрь: Читать далее

Открыть форвард портов на сервер eSafe

UPD: ЭТО ВСЁ НЕПРАВДА! ВСЁ РАБОТАЕТ СОВСЕМ ПО-ДРУГОМУ!!!!

Собственно, почему так я разбирался вчера, а сегодня только выяснил все порты, которые для этого нужны. 🙂

# iptables -t nat -A PREROUTING -p tcp —dport 25 -j DNAT —to-destination 10.0.0.1
# iptables -t nat -A PREROUTING -p tcp —dport 37233 -j DNAT —to-destination 10.0.0.1
# iptables -t nat -A PREROUTING -p tcp —dport 43970 -j DNAT —to-destination 10.0.0.1
# iptables -t filter -I FORWARD 3 -p tcp —dst 10.0.0.1 —dport 25 -j ACCEPT
# iptables -t filter -I FORWARD 3 -p tcp —dst 10.0.0.1 —dport 37233 -j ACCEPT
# iptables -t filter -I FORWARD 3 -p tcp —dst 10.0.0.1 —dport 43970 -j ACCEPT
#

Друзья, давайте поговорим об извращениях: виртуальная машина, как замена драйверу

Есть у меня задача, которая крутится под линуксом «из коробки». То есть инсталлятор устанавливает кастрированного по уши RedHat4, сразу с собой с одного диска. Драйвера оптимизированы под линейку серверов HP, которые успешно продаются в комплекте. Пробовали собрать это дело на безликом самосборе (без RAID и прочей экзотики) всё работает. В виртуальной машине — всё работает. На современный сервер IBM — ни этот продукт, ни чистый RedHat4 не ставятся (без пляски с бубнами, которые ещё только предстоят). RedHat6, разумеется, ставится, но к нему не прикрутить продукт.

Внимание, вопрос! Если я поставлю RedHat6 на IBM-овский сервер, а в нём VirtualBox, в котором запущу продукт, что будет с моей кармой и будут ли меня считать грязным извращенцем? Быстродействия хватит.

Война платформ: с пользователями на винде, сама на линуксе

Ставлю на виртуалку eSafe. Скоро надо будет обновляться до новой версии, а она на сервер не ставится — железо ей не мило. Ставлю в соседскую виртуалку линукс. Запускаю. Единственное средство обращения к новоустановленному eSafe — через браузер. Обращаюсь через браузер. Мне делают замечание: «только по https!». Обращаюсь по https. Мне предлагают подтвердить, что я согласен на самоподписанный сертификат. Соглашаюсь. Мне говорят: «browser not supported». В результате ставлю соседскую виртуальную машину XP, что бы только законфигурить eSafe через IE.