All perguntas(server)

Estou tentando substituir o roteador da minha casa, indo do Linksys WRT1900 para o UniFi Gateway Max (não Cloud). O modem do ISP está em modo bridge, e tudo funciona bem com o roteador antigo, sem nenhuma configuração complicada (DHCP). Quando conecto o UniFi, ele parece funcionar bem por um curto período de tempo, como 20 segundos - a configuração tenta avançar e até entrega internet para o que estiver conectado às suas portas. Mas então (logo após alguns segundos, não devido a nenhuma ação) a imagem muda para a mensagem "Nenhuma Internet Detectada" no aplicativo Android e na interface da web do roteador, e nenhuma quantidade de reinicializações do modem do provedor ajudaria. Tentei redefinir o dispositivo para as configurações de fábrica, o ISP tentou redefinir o modem para as configurações de fábrica e então me deu um completamente novo (porque eles acharam que talvez o antigo fosse um pouco lento ou algo assim). Eles veem o endereço mac do UniFi quando ele é conectado ao modem.

Alguma ideia? Acho que esgotei todas as combinações do que reiniciar em qual ordem. Realmente estou me perguntando quais critérios o dispositivo UniFi usa para detectar "internet".

Temos um domínio ou "locatário" do Microsoft Azure/Entra, originalmente convertido de uma conta de trabalho de autoinscrição para uma conta totalmente gerenciada com plano gratuito (acadêmico), portanto, ele tem nosso domínio base (ou seja, example.comem oposição a algo como ad.example.com) como o domínio principal.

Não usamos muito o Azure, mas agora estamos adicionando algumas contas para o Teams, uma por uma. Até agora, escolhemos os nomes das contas para corresponder aos endereços de e-mail locais – por exemplo, meu endereço de e-mail de trabalho é, [email protected]então, da mesma forma, minha conta Entra para o Teams é [email protected].

Mas notei que se o Teams envia um e-mail de convite para [email protected], ele nunca chega ao nosso servidor de e-mail local. Em vez disso, encontramos esse e-mail em uma caixa de correio do O365 quando o abro https://outlook.come entro com minha conta do Azure.

Eu não sabia que tínhamos caixas de correio como parte do nosso plano gratuito, mas, mais precisamente, posso fazer com que ele envie e-mails para o nosso servidor de e-mail local, como os registros MX já indicam? Não usamos o e-mail do O365 (ainda?), então não preciso dele por caixa de correio, mas para o domínio inteiro — pelo menos por enquanto. E se sim: como faço para que ele faça isso?

(Edição: Atribuímos aos usuários licenças "Office 365 A1 para Professores", pois não fazer isso parecia quebrar completamente o Teams no passado (a ponto de ter que excluir a conta e recriá-la), mas acho que é isso que também lhes concede uma caixa de correio do O365.)

Ou deveríamos apenas trocar o locatário do Azure para usar um subdomínio DNS diferente como primário (como az.example.com) e então remover o antigo domínio base? Estou hesitante em fazer isso, pois não quero acabar acidentalmente com alguém criando outro locatário fantasma por meio de autoinscrição, como já aconteceu antes.

Por favor, desculpem a confusão de terminologia; nossa equipe de TI de duas pessoas tem quase nenhuma experiência com as coisas de nuvem da Microsoft.

Quero executar uma VM que hospeda um servidor TFTP (porta 69) no ESXi8. O ESXi não tem uma regra de firewall padrão para cobrir isso, e adicionar uma nova regra personalizada aparentemente não é suportado no nível do usuário final. Estou bem com "sem suporte" e quero adicionar minha regra personalizada.

O Google sugere que um arquivo xml colocado em /etc/vmare/firewallcostumava ser o caminho (em versões anteriores do ESXi). Então, eu criei my-custom-firewall.xml, mas não consigo fazer funcionar. O arquivo desaparece na reinicialização. Alguma dica?

<?xml version="1.0" encoding="UTF-8"?>
<ConfigRoot>
   <service id="0001">
     <id>daemon-tftpd</id>
     <rule id="0000">
        <direction>inbound</direction>
        <protocol>tcp</protocol>
        <porttype>dst</porttype>
        <port>69</port>
     </rule>
     <enabled>true</enabled>
     <required>false</required>
   </service>
</ConfigRoot>

(Desculpe, postei o original no fórum errado)

Estou no processo de configuração do Zabbix no Alma 9 e estou tendo um problema estranho com traps SNMP. Temos um switch sip que tem SNMP habilitado e está apontando para o servidor, mas por algum motivo o snmptrapd não está processando os traps de entrada

O Zabbix está instalado e em execução. O snmp e o trap estão em execução

[root@dev:~]$ ps ax | grep snmp
   1472 ?        S      0:00 /usr/sbin/zabbix_server: snmp trapper [processed data in 0.000060 sec, idle 1 sec]
   1527 ?        Sl     0:00 /usr/sbin/zabbix_server: snmp poller #1 [got 0 values, queued 0 in 5 sec, awaiting 0]
   2174 ?        Ss     0:00 /usr/sbin/snmptrapd -Lsd -f
   2585 pts/1    S+     0:00 grep --color=auto snmp

executando snmptrapwalk funciona

snmptrap -v 2c -c public 10.5.5.122 '' SNMPv2-MIB::snmpMIB IF-MIB::linkDown s eth0

2025-01-10T16:51:09+0000 ZBXTRAP 10.5.5.122
PDU INFO:
  receivedfrom                   UDP: [10.5.5.122]:47786->[10.5.5.122]:162
  version                        1
  transactionid                  2
  requestid                      1130383097
  errorstatus                    0
  messageid                      0
  notificationtype               TRAP
  errorindex                     0
  community                      public
VARBINDS:
  DISMAN-EVENT-MIB::sysUpTimeInstance type=67 value=Timeticks: (337607) 0:56:16.07
  SNMPv2-MIB::snmpTrapOID.0      type=6  value=OID: SNMPv2-MIB::snmpMIB
  IF-MIB::linkDown               type=4  value=STRING: "eth0"

No nosso switch sip se eu reiniciar um dos módulos, ele dispara a armadilha snmpt Usando o dump TCP posso enviá-lo para o servidor zabbix

tcpdump -i ens18 -T snmp -n dst portrange 161-162

17:14:35.573815 IP 10.7.7.113.33830 > 10.5.5.122.snmptrap:  V2Trap(174)  .1.3.6.1.2.1.1.3.0=1877147173 .1.3.6.1.6.3.1.1.4.1.0=.1.3.6.1.4.1.17236.2.1 .1.3.6.1.4.1.17236.1.1="CRITICAL : 003 010008 000007 10/01/2025 17:14:35 : Connection to 0XA070771 (SIP Switch 3 - BT) lost"
17:14:36.427854 IP 10.7.7.113.43173 > 10.5.5.122.snmptrap:  V2Trap(152)  .1.3.6.1.2.1.1.3.0=1877147258 .1.3.6.1.6.3.1.1.4.1.0=.1.3.6.1.4.1.17236.2.1 .1.3.6.1.4.1.17236.1.1="CRITICAL : 003 010000 000000 10/01/2025 17:14:36 : Application Server stopped"
17:14:37.434487 IP 10.7.7.113.54710 > 10.5.5.122.snmptrap:  V2Trap(222)  .1.3.6.1.2.1.1.3.0=1877147359 .1.3.6.1.6.3.1.1.4.1.0=.1.3.6.1.4.1.17236.2.1 .1.3.6.1.4.1.17236.1.1="MAJOR    : 007 023009 000000 10/01/2025 17:14:37 : Shout.Ocp.OcpLink (127.0.0.1:10012) has failed.  Reason: Unexpected error in Heartbeat thread."
17:14:41.627673 IP 10.7.7.113.34462 > 10.5.5.122.snmptrap:  V2Trap(230)  .1.3.6.1.2.1.1.3.0=1877147778 .1.3.6.1.6.3.1.1.4.1.0=.1.3.6.1.4.1.17236.2.1 .1.3.6.1.4.1.17236.1.1="MAJOR    : 007 023009 000000 10/01/2025 17:14:41 : Shout.Ocp.OcpLink (127.0.0.1:10012) has failed.  Reason: Unable to read beyond the end of the stream..

Sim, não há nada nos logs. É isso que tenho em /etc/snmp/snmptrap.conf

#Zabbix 1 and 2
disableAuthorization yes
authCommunity execute public

#Zabbix SNMP trap receiver
perl do "/usr/bin/zabbix_trap_receiver.pl";

Eu também tentei isso usando o script bash, mas ainda sem sorte. O Selinux está desabilitado e o firewall também. Não recebo mensagens de erro e nada está sendo exibido em /var/log/messages indicando problemas. Estou um pouco perplexo, pois nada parece estar errado.

Eu tinha uma instalação bare metal do Ubuntu Server. Criei uma imagem de disco completa com dd e converti para qcow2.

qemu-img convert -O qcow2 full_disk.dd.img full_disk.qcow2

Então eu instalei um Ubuntu Server 22.04 novo nesta máquina. Depois eu quis importar o disco com virt-install:

virt-install --name guest-host --memory 16384 --vcpus 4 --disk path=/var/lib/libvirt/images/full_disk.qcow2,format=qcow2 --os-variant ubuntu22.04 --network network=default --graphics none --import

Depois disso, um "console" começa sem saída. qemu-system-x86 roda com 100% da CPU (em um único núcleo) quase indefinidamente. Posso conectar com:

virsh --connect qemu:///system console guest-host

mas ainda sem saída. (Posso sair com Ctrl+])

virsh edit guest-host

contém:

    <serial type='pty'>
      <target type='isa-serial' port='0'>
        <model name='isa-serial'/>
      </target>
    </serial>
    <console type='pty'>
      <target type='serial' port='0'/>
    </console>

--extra-args="console=ttyS0"

argumento não é aceito para importações.

ERRO Os argumentos do kernel são suportados somente com instalações de localização ou kernel.

Tentei editar grub.cfgpara usar a saída serial, mas não obtive nenhuma saída.

Também tentei importar para o VirtualBox. Lá, ele fica travado em "Booting from Local Disk...".

É intrigante que ele esteja usando constantemente 100% da CPU. Em algum momento, a VM deve ficar ociosa. O VirtualBox não consegue inicializar. Não consigo ver se a VM está fazendo alguma coisa no KVM (já que não há saída).

Para testar em um ambiente gráfico (virt-manager), tentei os mesmos passos no meu notebook. Parece que não consigo alterar as configurações de firmware e chipset.

Progresso: em virt-manager, há uma opção para alterar a configuração após selecionar o SO e a imagem do disco. Isso me permitiu alterar o firmware (boot) para UEFI (há algumas opções, entre as quais /usr/share/OVMF/OVMF_CODE_4M.fdfuncionou e eu consegui inicializar na saída gráfica. No entanto, em virt-install(em bash, sem GUI) ou virshnão consegui ver ou acessar a saída. O uso da CPU não está mais em 100%. Parece haver alguma atividade. Esses são todos bons sinais. Há um erro: error: no suitable video mode found.. O SO ainda pode estar inicializando. Estou olhando os modos de rede para ver se o SSHD está iniciando.

Outra opção é configurar grub.cfgpara saída serial.

Final: Aceitei a resposta do @algebra. Isso realmente resolveu o problema de inicialização. Não consegui obter nenhuma saída. Decidi instalar lightdme ubuntu-desktopobter um ambiente de desktop, onde consegui acessar os sistemas operacionais importados. Também acontece que os dispositivos de rede podem ter nomes diferentes. Para obter acesso, você pode editar /etc/netplan/...(permanentemente) ou ativar manualmente o dispositivo de rede (algo algo up, mas não permanente). Então você pode descobrir os convidados da VM na rede virtual com nmap -sn <subnet>. Dessa forma, você pode usar ssh para as VMs.

PS: Excluí a pergunta antiga porque agora acho que ele não inicializa mais.

Tenho uma conexão SSL com um servidor (owner-api.teslamotors.com) que trava com wget, curl ou openssl s_client. Estou mostrando a versão curl, pois ela fornece a maioria das mensagens de depuração:

# curl -iv https://owner-api.teslamotors.com 
*   Trying 18.203.70.200:443...
* Connected to owner-api.teslamotors.com (18.203.70.200) port 443 (#0)
* ALPN: offers h2,http/1.1
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
*  CAfile: /etc/ssl/certs/ca-certificates.crt
*  CApath: /etc/ssl/certs

Lá ele trava depois de ClientHello. Conexão TCP estabelecida com sucesso (também confirmada com telnet/nc). Outra conexão de rede, incluindo qualquer conexão SSL que eu tentei, funciona. Exceto owner-api.teslamotors.com:443.

Achei esta postagem falando sobre MTU e parecia absurdo. Mas reduzi o MTU do servidor e funcionou! Funciona com qualquer MTU <= 1420.

O servidor se conecta usando Ethernet (MTU 1500) a um roteador Mikrotik e de lá a conexão passa por um túnel WireGuard (MTU 1420). Estou ciente de que isso pode não ser o ideal, pois qualquer pacote IP do servidor >1420 precisará ser fragmentado. No entanto, isso é agnóstico de qualquer protocolo L4. SSL sobre TCP não deve se importar com fragmentação e MTU. No entanto, este host se importa.

Executei uma captura de pacotes na caixa Mikrotik e o tráfego não lista nada de anormal para mim:

O típico handshake TCP Num 1-3, depois ClientHello (Num 4-5) e ServerHello (Num 6-7). Nenhum tamanho de pacote chega perto do MTU e nenhuma outra mensagem ICMP que indicaria problemas com fragmentação etc.

Por comentário, aqui está a saída do tracepath:

# tracepath owner-api.teslamotors.com
 1?: [LOCALHOST]                      pmtu 1500
 1:  XX.XX.56.210                                          0.410ms 
 1:  XX.XX.56.210                                          0.198ms 
 2:  XX.XX.56.210                                          0.138ms pmtu 1420
 2:  XX.XX.56.185                                        151.394ms 
 3:  no reply
 4:  100.100.200.1                                       157.220ms 
 5:  10.75.0.193                                         154.068ms 
 6:  10.75.2.53                                          161.950ms asymm  7 
 7:  decix1.amazon.com                                   152.107ms asymm  8 
 8:  decix2.amazon.com                                   153.068ms 
 9:  no reply
 [...]

Estou realmente perdido, o que diabos está acontecendo aqui?

Por que essa conexão SSL falha?

Passei um bom tempo solucionando problemas. Aqui está o que confirmei até agora:

Lado S3

• O nome do bucket é exatamente o nome do meu site
• Hospedagem estática habilitada, com o documento Index definido como index.html (que está no bucket)
• Bloquear todo o acesso público: Ativado. Não deve ser um problema porque eu uso OAC
• Política de balde:

{
    "Version": "2012-10-17",
    "Id": "PolicyForCloudFrontPrivateContent",
    "Statement": [
        {
            "Sid": "AllowCloudFrontServicePrincipal",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudfront.amazonaws.com"
            },
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::mybucketname/*",
            "Condition": {
                "StringEquals": {
                    "AWS:SourceArn": "arn:aws:cloudfront::<something>:distribution/<wahtever>"
                }
            }
        }
    ]
}

distribuição cloudfront

• certificado ssl personalizado, tls 1.2 (https não está funcionando, mas isso é um problema para mais tarde)
• objeto raiz padrão /index.html. Não está claro se isso é totalmente necessário, pois o s3 já sabe que esse é o objeto raiz.
• Origens: O domínio de origem é o ponto final do SITE S3, porta 80 http
• Comportamentos: Redirecionar HTTP para HTTPS

Rota 53

3 registros:

1. Um registro, Alias, roteamento simples, aponta para mim domínio cloudfront
2. Registro NS criado pela Aws (eu os adicionei à lista de servidores DNS onde comprei meu domínio
3. Registro SOA criado pela aws

No Windows Server que estou olhando, o IIS executa o serviço de publicação WWW, e ele é protegido por firewall para permitir apenas as portas 80 e 443 para esse serviço. Conexões de navegadores de clientes expiram, e quando olho no log de eventos de segurança no servidor, vejo eventos registrados como este:

The Windows Filtering Platform has blocked a connection.

Application Information:
    Process ID:     4
    Application Name:   System

Network Information:
    Direction:      Inbound
    Source Address:     192.168.10.21 <= This is this server where the event is logged
    Source Port:        80 <= This is the IIS WWW publishing service listening port
    Destination Address:    192.168.10.3 <= This is the client PC where the browser requests the URL on the IIS
    Destination Port:       60112
    Protocol:       6

Filter Information:
    Filter Run-Time ID: 86327
    Layer Name:     Receive/Accept
    Layer Run-Time ID:  44

Se a conexão for de entrada, como dito acima, a origem deve ser 192.168.10.3, a porta de origem deve ser qualquer porta alta aleatória que o navegador usa, o destino deve ser 192.168.10.21 e a porta de destino deve ser 80, mas é o contrário.

Não entendendo por que os campos de eventos estão de cabeça para baixo, não consigo imaginar uma maneira de permitir essa conexão.

Se essa não for realmente a solicitação original, mas a resposta do IIS à solicitação que foi permitida, então por que ela está sendo bloqueada? Não há regras de bloqueio no firewall, e a única regra que pertence a conexões HTTP(s) é a regra Allow inbound para o serviço WWW do IIS.

Eu configurei vários servidores Apache e suas respectivas regras da maneira que descrevi acima, e nunca tive problemas. Se o IIS precisa de uma abordagem diferente, então por que e como? É um requisito do fornecedor que o site rode no IIS, então não tenho liberdade a esse respeito.

EDITAR:

Se eu modificar a regra para aplicar a quaisquer programas ou serviços, então a conexão funciona. Se eu restringi-la para aplicar somente a serviços, ela ainda funciona. E somente quando eu seleciono especificamente o Worldwide Web Publishing Service como seu alvo, então ele para de permitir a conexão. A partir disso, fica claro que há algum problema entre o Firewall do Windows e o IIS, mas o que é?

<Location /server-status>
        SetHandler server-status
        Require local
</Location>

# Keep track of extended status information for each request
ExtendedStatus On

Isso está no meu /etc/apache2/mods-enabled/status.conf

Obviamente, quando tento acessar isso do meu computador doméstico, falha, mas se eu adicionar Permitir tudo e remover Exigir local e for para /server-status, ele mostra a página 404 do Wordpress, o que é estranho.

Não tenho certeza do que preciso alterar para que seja exibida a página mod_status real em vez da página 404 do Wordpress.

Se precisar de mais informações, por favor me avise.

Alguém familiarizado com a possibilidade de autenticar o comando sudo em /etc/pam.d/sudo com o kerberos5, também conhecido como biblioteca pam_krb5.so?