Recentes Perguntas - Page 25

jurijus01

Asked: 2025-01-06 06:16:36 +0800 CST

ipTables bloqueando tráfego da porta 25 do IPv4 apesar de permitir IPv6. Pode ser corrigido?

6

Solução de problemas de conectividade IPv4 limitada na porta 25.

Tenha regras ipTables:

  Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  185.121.228.0/24     anywhere            
ACCEPT     all  --  127.0.0.0/24         anywhere            
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:smtp

Uma vez que a política de ENTRADA padrão é ACEITAR,

root@mail:/home/ubuntu# echo “HELO” | nc -4 smtp.google.com 25
220 mx.google.com ESMTP ffacd0b85a97d-38a1c8bb5f7si23003263f8f.375 - gsmtp
502-5.5.1 Unrecognized command. For more information, go to
502 5.5.1  https://support.google.com/a/answer/3221692 ffacd0b85a97d-38a1c8bb5f7si23003263f8f.375 - gsmtp

Quando a política de ENTRADA padrão é DROP, o mesmo comando trava indefinidamente.

Agora, a parte mais interessante é que a mudança na política de INPUT não tem efeito sobre

root@mail:/home/ubuntu# echo “HELO” | nc -6 smtp.google.com 25

que está recebendo resposta do Google de qualquer maneira.

É preciso que o servidor de e-mail envie e-mails para todos os outros servidores de e-mail, não apenas para aqueles compatíveis com IPv6.

Se alguém pudesse explicar o que está acontecendo, seria fantástico!

Atualizado: a impressão do ip-save é:

:INPUT DROP [41791:1739301]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [6390374:3802889072]
-A INPUT -i ens3 -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -s 127.0.0.0/24 -i lo -j ACCEPT
-A INPUT -s 185.121.228.0/24 -i ens3 -j ACCEPT
COMMIT

kacper

Asked: 2025-01-04 23:10:29 +0800 CST

Como configurar o Fail2Ban para bloquear todos os protocolos (TCP, UDP, ICMP) em vez de apenas o TCP?

5

Tenho o Fail2Ban instalado no meu servidor e gostaria que ele bloqueasse todos os protocolos (TCP, UDP, ICMP) quando um IP é banido, não apenas o TCP. Estou tentando definir a protocol = allopção, mas estou enfrentando problemas.

Aqui está parte de uma configuração padrão no iptables.confarquivo na [Init]seção:

# Option:  protocol
# Notes.:  internally used by config reader for interpolations.
# Values:  [ tcp | udp | icmp | all ] Default: tcp
#
protocol = tcp

Quero mudar tcppara allque todos os protocolos sejam bloqueados, mas a mudança não parece ter efeito. Também criei um iptables.localarquivo com o seguinte conteúdo para substituir as configurações padrão de iptables.conf. No entanto, após reiniciar o Fail2Ban, ele ainda bloqueia apenas conexões TCP

[Init]
protocol = all

Alguém poderia me ajudar a configurar o Fail2Ban para bloquear todos os protocolos? O que devo fazer para que o protocol = all change funcione? Devo modificar algum outro arquivo de configuração ou há alguma configuração adicional que preciso ajustar?

Obrigado pela ajuda!

hack4mer

Asked: 2025-01-04 14:10:20 +0800 CST

O limite de conexão HAProxy por servidor backend é limitado a port_range

5

Estou executando um balanceador de carga HAProxy para um servidor WebSocket.

Se eu colocar um servidor backend

backend pieproxy
  option http-keep-alive
  timeout tunnel 0ms

  balance leastconn

  server s1 IP:3001

O HAproy pode lidar apenas com 28.000 conexões estabelecidas.

Consigo contornar isso e fazer mais conexões adicionando outro servidor.

backend pieproxy
  option http-keep-alive
  timeout tunnel 0ms

  balance leastconn

  server s1 IP:3001
  server s2 IP:3001

Agora o HAproxy pode fazer o dobro desse número de conexões.

Quando reduzo o valor de

sysctl net.ipv4.ip_local_port_range

O HAproxy é capaz de fazer conexões máximas de até

number of backend server * ip_local_port_range

Por favor me ajude. Estou esquecendo de alguma coisa?

Como posso fazer com que um servidor backend atenda mais conexões que o valor de ip_local_port_range

elsnichkum

Asked: 2025-01-04 03:02:52 +0800 CST

O usuário tem controle total sobre o arquivo, mas ainda recebe "você não tem permissão para abrir este arquivo" no Windows Server 2022

5

Estou um pouco confuso sobre o porquê disso estar acontecendo.

Temos uma lista de dispositivos (arquivo .txt) localizada na unidade C: dentro de algumas pastas em um servidor Microsoft Windows 2022. Criei esse arquivo e as pastas a serem usadas como parte de um script PS. As Configurações de Segurança Avançadas mostram as permissões para o arquivo .txt, e tudo parece correto para qualquer usuário que tenha acesso ao servidor (um grupo de segurança dentro do grupo "Administradores") para poder editar/acessar o arquivo.

No entanto, quando um usuário (que tem acesso administrativo ao servidor) tenta abri-lo via bloco de notas, ele é avisado com "você não tem permissão para abrir este arquivo", como mostrado. Ele consegue navegar até o arquivo:

erro

Permissões efetivas mostram que eles devem ter controle total:

permissões efetivas

Get-NTFSEffectiveAccessmostra isso também:

permissões efetivas ntfs

É somente quando adiciono a conta de usuário deles diretamente e atribuo permissões que eles finalmente conseguem acessá-la. O que estou esquecendo aqui?

blueYOSHI

Asked: 2025-01-03 23:58:44 +0800 CST

o servidor web não pode ser acessado de fora do servidor

5

Tenho um servidor de nuvem Hetzner rodando no Debian e estou tentando hospedar um site nele, infelizmente toda vez que tento acessá-lo a conexão simplesmente expira.
Eu tentei Apache2 e Nginx e consegui configurar ambos a ponto de conseguir acessar o site com sucesso no servidor usando o curl [domain]comando (não IP, domínio), mas fazer o mesmo em qualquer outro sistema ou navegador não funciona e simplesmente expira. A seguir está o ufw statuscomando:

To                         Action      From
--                         ------      ----
WWW                        ALLOW       Anywhere
22/tcp                     ALLOW       Anywhere
443                        ALLOW       Anywhere
80/tcp                     ALLOW       Anywhere
Nginx Full                 ALLOW       Anywhere
WWW (v6)                   ALLOW       Anywhere (v6)
22/tcp (v6)                ALLOW       Anywhere (v6)
443 (v6)                   ALLOW       Anywhere (v6)
80/tcp (v6)                ALLOW       Anywhere (v6)
Nginx Full (v6)            ALLOW       Anywhere (v6)

O domínio em si também está configurado corretamente, verificando seus registros A ou AAAA aponta para o IP da minha nuvem Hetzner. Os servidores de nomes estão no Porkbun e não no Hetzner, mas isso não deve ser um problema, pelo que sei.
Fazer um MTR produz o seguinte (os primeiros passos foram removidos para privacidade, mas não houve perdas):

|                          Host              -   %  | Sent | Recv | Best | Avrg | Wrst | Last |
|---------------------------------------------------|------|------|------|------|------|------|
|                       decix-gw.hetzner.com -    0 |   81 |   81 |   10 |   11 |   12 |   11 |
|                    core12.nbg1.hetzner.com -    0 |   81 |   81 |   11 |   11 |   12 |   11 |
|            spine16.cloud1.nbg1.hetzner.com -    0 |   81 |   81 |   11 |   11 |   13 |   12 |
|             spine1.cloud1.nbg1.hetzner.com -    0 |   81 |   81 |   11 |   15 |   67 |   26 |
|                         Request timed out. -  100 |   17 |    0 |    0 |    0 |    0 |    0 |
|                      11236.your-cloud.host -    0 |   81 |   81 |   11 |   11 |   12 |   11 |
|static.76.42.203.116.clients.your-server.de -    0 |   81 |   81 |   11 |   12 |   31 |   12 |

Também entrei em contato com o suporte da Hetzner e eles confirmaram que não há nenhum problema da parte deles.

Para esclarecer a questão: como posso ter certeza de que o site no servidor pode ser acessado sem que o tempo limite fique sempre esgotado?

Filip Stefanov

Asked: 2025-01-03 17:53:56 +0800 CST

erros do memtester ocorreram em loop sequencial

5

Alguém tem alguma ideia de por que a taxa de erros diminui a cada loop?
canal duplo Geil EVO Spear DDR4-2133

sudo memtester 6000 5

memtester version 4.5.1 (64-bit)
Copyright (C) 2001-2020 Charles Cazabon.
Licensed under the GNU General Public License version 2 (only).

pagesize is 4096
pagesizemask is 0xfffffffffffff000
want 6000MB (6291456000 bytes)
got  6000MB (6291456000 bytes), trying mlock ...locked.
Loop 1/5:
  Stuck Address       : testing   2FAILURE: possible bad address line at offset 0x000c04d0.
Skipping to next test...
  Random Value        : FAILURE: 0x3ed5db7679ece79f != 0x3ed7db7679ece79f at offset 0x2027fce0.
FAILURE: 0xf7fc8f5ffe7e74ef != 0xf7fe8f5ffe7e74ef at offset 0x35fa5ce0.
FAILURE: 0x10400b8d82107fb3 != 0x10420b8d82107fb3 at offset 0x35fa5ce0.
  Compare XOR         : FAILURE: 0x60a20d1c0800e073 != 0x60a00d1c0800e073 at offset 0x61914de0.
  Compare SUB         :   Compare MUL         : ok
FAILURE: 0x2000000000004 != 0x00000004 at offset 0x319f1ce0.
FAILURE: 0x2000000000004 != 0x00000004 at offset 0x659e9ce0.
  Compare DIV         : FAILURE: 0xfffdffffffffffff != 0xffffffffffffffff at offset 0x35fa5ce0.
  Compare OR          : FAILURE: 0xc7f4e347d8fafda != 0xc7e4e347d8fafda at offset 0x0a5fb5d0.
FAILURE: 0xc7f4e347d8fafda != 0xc7e4e347d8fafda at offset 0x3c3094d0.
  Compare AND         : FAILURE: 0xffec15854f70c19d != 0xffee15854f70c19d at offset 0x088b5ce0.
FAILURE: 0xffec1585563811bd != 0xffee1585563811bd at offset 0x3ec5dde0.
  Sequential Increment:   Solid Bits          : testing   2FAILURE: 0xfffeffffffffffff != 0xffffffffffffffff at offset 0x09c774d0.
  Block Sequential    : testing   0FAILURE: 0x2000000000000 != 0x00000000 at offset 0x659e9ce0.
FAILURE: 0x1000000000000 != 0x00000000 at offset 0x692f15d0.
FAILURE: 0x2000000000000 != 0x00000000 at offset 0x7a8adce0.
  Checkerboard        : testing   1FAILURE: 0xaaa8aaaaaaaaaaaa != 0xaaaaaaaaaaaaaaaa at offset 0x35fa5ce0.
  Bit Spread          : testing   0FAILURE: 0x1000000000005 != 0x00000005 at offset 0x3abe94d0.
  Bit Flip            : testing   3FAILURE: 0x2000000000001 != 0x00000001 at offset 0x3abe5de0.
  Walking Ones        : ok         
  Walking Zeroes      : ok         
  8-bit Writes        : ok
  16-bit Writes       : ok

Loop 2/5:
  Stuck Address       : ok         
  Random Value        : ok
  Compare XOR         : ok
  Compare SUB         : ok
  Compare MUL         : ok
FAILURE: 0x2000000000001 != 0x00000001 at offset 0x53351ce0.
FAILURE: 0x2000000000001 != 0x00000001 at offset 0x65ae9ce0.
  Compare DIV         :   Compare OR          : ok
  Compare AND         : ok
  Sequential Increment: ok
  Solid Bits          : testing   3FAILURE: 0x2000000000000 != 0x00000000 at offset 0x659e9ce0.
  Block Sequential    : testing   0FAILURE: 0x2000000000000 != 0x00000000 at offset 0x319f1ce0.
  Checkerboard        : testing  11FAILURE: 0xaaa8aaaaaaaaaaaa != 0xaaaaaaaaaaaaaaaa at offset 0x35fa5ce0.
  Bit Spread          : ok         
  Bit Flip            : testing  77FAILURE: 0x1000000000200 != 0x00000200 at offset 0x692f15d0.
  Walking Ones        : ok         
  Walking Zeroes      : ok         
  8-bit Writes        : ok
  16-bit Writes       : ok

Loop 3/5:
  Stuck Address       : testing   5FAILURE: possible bad address line at offset 0x3e2814d0.
Skipping to next test...
  Random Value        : ok
  Compare XOR         : ok
  Compare SUB         : ok
  Compare MUL         : ok
  Compare DIV         : ok
  Compare OR          : ok
  Compare AND         : ok
  Sequential Increment: ok
  Solid Bits          : testing  15FAILURE: 0x1000000000000 != 0x00000000 at offset 0x692f15d0.
  Block Sequential    : testing 152FAILURE: 0x989a989898989898 != 0x9898989898989898 at offset 0x22c61de0.
  Checkerboard        : ok         
  Bit Spread          : ok         
  Bit Flip            : ok         
  Walking Ones        : ok         
  Walking Zeroes      : ok         
  8-bit Writes        : ok
  16-bit Writes       : ok

Loop 4/5:
  Stuck Address       : ok         
  Random Value        : ok
  Compare XOR         : ok
  Compare SUB         : ok
  Compare MUL         : ok
  Compare DIV         : ok
  Compare OR          : ok
  Compare AND         : ok
  Sequential Increment: ok
  Solid Bits          : ok         
  Block Sequential    : ok         
  Checkerboard        : ok         
  Bit Spread          : ok         
  Bit Flip            : ok         
  Walking Ones        : ok         
  Walking Zeroes      : ok         
  8-bit Writes        : ok
  16-bit Writes       : ok

Loop 5/5:
  Stuck Address       : ok         
  Random Value        : ok
  Compare XOR         : ok
  Compare SUB         : ok
  Compare MUL         : ok
  Compare DIV         : ok
  Compare OR          : ok
  Compare AND         : ok
  Sequential Increment: ok
  Solid Bits          : ok         
  Block Sequential    : ok         
  Checkerboard        : ok         
  Bit Spread          : ok         
  Bit Flip            : ok         
  Walking Ones        : ok         
  Walking Zeroes      : ok         
  8-bit Writes        : ok
  16-bit Writes       : ok

Done.

shole

Asked: 2025-01-03 17:11:35 +0800 CST

O RHEL9 subscription-manager não consegue diferenciar minha VM original e a VM clonada

7

Tenho uma VM RHEL9 registrada e recentemente clonei uma cópia dela restaurando a partir do backup mais recente do Veeam.

Depois alterei o IP, o gateway, também /etc/hostso arquivo e regenerei /etc/machine-ido arquivo (também /var/lib/dbus/machine-id)

Então eu executei subscription-manager unregistere subscription-manager cleanem ambas as VMs. Também fiz login no console web do Redhat Hybrid Cloud Console para verificar se não há sistemas relevantes registrados.

Então eu executei subscrption-manager registerpara ambas as VMs, e esperava que houvesse duas novas entradas no Redhat Hybrid Cloud Console. No entanto, descobri que sempre há apenas uma entrada, e parece que as VMs estavam sobrescrevendo uma à outra.

Verifiquei se eles têm dois IPs, IDs de máquina e identidade de gerenciador de assinaturas diferentes, mas parece que quando tento registrar os dois, o Redhat os vê como o mesmo sistema.

Minha pergunta é: qual é a possível causa desse comportamento e como posso resolvê-lo corretamente?

2025-01-06 Atualização rápida:

Seguindo a resposta sugerida, tento atualizar o MAC Address, mas o Redhat parece ainda não conseguir dizer que são duas VMs diferentes. Abaixo está minha configuração atual da VM original e da VM restaurada.

VM original:

Endereço IP e MAC

/etc/machine-id e /var/lib/dbus/machine-id

identidade do gerenciador de assinaturas

VM restaurada:

Endereço IP e MAC

/etc/machine-id e /var/lib/dbus/machine-id

identidade do gerenciador de assinaturas

glossy

Asked: 2025-01-03 05:41:40 +0800 CST

O handshake TLS falha em alguns sites

5

Alguns sites falham nas solicitações HTTP do meu VPS.

Por exemplo, https://openvpn.net falha em uma solicitação:

root@vm3226933:~# curl -vvvv --head https://openvpn.net
*   Trying 104.19.190.106:443...
* Connected to openvpn.net (104.19.190.106) port 443 (#0)
* ALPN: offers h2,http/1.1
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
*  CAfile: /etc/ssl/certs/ca-certificates.crt
*  CApath: /etc/ssl/certs
* OpenSSL SSL_connect: SSL_ERROR_SYSCALL in connection to openvpn.net:443
* Closing connection 0
curl: (35) OpenSSL SSL_connect: SSL_ERROR_SYSCALL in connection to openvpn.net:443

Solicitação adicional de baixo nível:

root@vm3226933:~# openssl s_client -connect openvpn.net:443 -debug -trace
CONNECTED(00000003)
Sent Record
Header:
  Version = TLS 1.0 (0x301)
  Content Type = Handshake (22)
  Length = 312
    ClientHello, Length=308
      client_version=0x303 (TLS 1.2)
      Random:
        gmt_unix_time=0x5284377E
        random_bytes (len=28): 8E8BCFC1833EC97B58643C21A64FA2CBC6A3DE29BC3D5361FDFC29EC
      session_id (len=32): CCFFFE0BE78882B46FA491614BE65EBCE2852139F82D614E75B3DFC85C2E7F6F
      cipher_suites (len=62)
        {0x13, 0x02} TLS_AES_256_GCM_SHA384
        {0x13, 0x03} TLS_CHACHA20_POLY1305_SHA256
        {0x13, 0x01} TLS_AES_128_GCM_SHA256
        {0xC0, 0x2C} TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
        {0xC0, 0x30} TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
        {0x00, 0x9F} TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
        {0xCC, 0xA9} TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
        {0xCC, 0xA8} TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
        {0xCC, 0xAA} TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256
        {0xC0, 0x2B} TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
        {0xC0, 0x2F} TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
        {0x00, 0x9E} TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
        {0xC0, 0x24} TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
        {0xC0, 0x28} TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
        {0x00, 0x6B} TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
        {0xC0, 0x23} TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
        {0xC0, 0x27} TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
        {0x00, 0x67} TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
        {0xC0, 0x0A} TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
        {0xC0, 0x14} TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
        {0x00, 0x39} TLS_DHE_RSA_WITH_AES_256_CBC_SHA
        {0xC0, 0x09} TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
        {0xC0, 0x13} TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
        {0x00, 0x33} TLS_DHE_RSA_WITH_AES_128_CBC_SHA
        {0x00, 0x9D} TLS_RSA_WITH_AES_256_GCM_SHA384
        {0x00, 0x9C} TLS_RSA_WITH_AES_128_GCM_SHA256
        {0x00, 0x3D} TLS_RSA_WITH_AES_256_CBC_SHA256
        {0x00, 0x3C} TLS_RSA_WITH_AES_128_CBC_SHA256
        {0x00, 0x35} TLS_RSA_WITH_AES_256_CBC_SHA
        {0x00, 0x2F} TLS_RSA_WITH_AES_128_CBC_SHA
        {0x00, 0xFF} TLS_EMPTY_RENEGOTIATION_INFO_SCSV
      compression_methods (len=1)
        No Compression (0x00)
      extensions, length = 173
        extension_type=server_name(0), length=16
          0000 - 00 0e 00 00 0b 6f 70 65-6e 76 70 6e 2e 6e 65   .....openvpn.ne
          000f - 74                                             t
        extension_type=ec_point_formats(11), length=4
          uncompressed (0)
          ansiX962_compressed_prime (1)
          ansiX962_compressed_char2 (2)
        extension_type=supported_groups(10), length=22
          ecdh_x25519 (29)
          secp256r1 (P-256) (23)
          ecdh_x448 (30)
          secp521r1 (P-521) (25)
          secp384r1 (P-384) (24)
          ffdhe2048 (256)
          ffdhe3072 (257)
          ffdhe4096 (258)
          ffdhe6144 (259)
          ffdhe8192 (260)
        extension_type=session_ticket(35), length=0
        extension_type=encrypt_then_mac(22), length=0
        extension_type=extended_master_secret(23), length=0
        extension_type=signature_algorithms(13), length=42
          ecdsa_secp256r1_sha256 (0x0403)
          ecdsa_secp384r1_sha384 (0x0503)
          ecdsa_secp521r1_sha512 (0x0603)
          ed25519 (0x0807)
          ed448 (0x0808)
          rsa_pss_pss_sha256 (0x0809)
          rsa_pss_pss_sha384 (0x080a)
          rsa_pss_pss_sha512 (0x080b)
          rsa_pss_rsae_sha256 (0x0804)
          rsa_pss_rsae_sha384 (0x0805)
          rsa_pss_rsae_sha512 (0x0806)
          rsa_pkcs1_sha256 (0x0401)
          rsa_pkcs1_sha384 (0x0501)
          rsa_pkcs1_sha512 (0x0601)
          ecdsa_sha224 (0x0303)
          rsa_pkcs1_sha224 (0x0301)
          dsa_sha224 (0x0302)
          dsa_sha256 (0x0402)
          dsa_sha384 (0x0502)
          dsa_sha512 (0x0602)
        extension_type=supported_versions(43), length=9
          TLS 1.3 (772)
          TLS 1.2 (771)
          TLS 1.1 (770)
          TLS 1.0 (769)
        extension_type=psk_key_exchange_modes(45), length=2
          psk_dhe_ke (1)
        extension_type=key_share(51), length=38
            NamedGroup: ecdh_x25519 (29)
            key_exchange:  (len=32): 1B7EC7B0AE2011F2A401C8E0A4B9E866D566027013D37EE4ADFE0F39393C8156

write to 0x555d7a5089c0 [0x555d7a51f070] (317 bytes => 317 (0x13D))
0000 - 16 03 01 01 38 01 00 01-34 03 03 52 84 37 7e 8e   ....8...4..R.7~.
0010 - 8b cf c1 83 3e c9 7b 58-64 3c 21 a6 4f a2 cb c6   ....>.{Xd<!.O...
0020 - a3 de 29 bc 3d 53 61 fd-fc 29 ec 20 cc ff fe 0b   ..).=Sa..). ....
0030 - e7 88 82 b4 6f a4 91 61-4b e6 5e bc e2 85 21 39   ....o..aK.^...!9
0040 - f8 2d 61 4e 75 b3 df c8-5c 2e 7f 6f 00 3e 13 02   .-aNu...\..o.>..
0050 - 13 03 13 01 c0 2c c0 30-00 9f cc a9 cc a8 cc aa   .....,.0........
0060 - c0 2b c0 2f 00 9e c0 24-c0 28 00 6b c0 23 c0 27   .+./...$.(.k.#.'
0070 - 00 67 c0 0a c0 14 00 39-c0 09 c0 13 00 33 00 9d   .g.....9.....3..
0080 - 00 9c 00 3d 00 3c 00 35-00 2f 00 ff 01 00 00 ad   ...=.<.5./......
0090 - 00 00 00 10 00 0e 00 00-0b 6f 70 65 6e 76 70 6e   .........openvpn
00a0 - 2e 6e 65 74 00 0b 00 04-03 00 01 02 00 0a 00 16   .net............
00b0 - 00 14 00 1d 00 17 00 1e-00 19 00 18 01 00 01 01   ................
00c0 - 01 02 01 03 01 04 00 23-00 00 00 16 00 00 00 17   .......#........
00d0 - 00 00 00 0d 00 2a 00 28-04 03 05 03 06 03 08 07   .....*.(........
00e0 - 08 08 08 09 08 0a 08 0b-08 04 08 05 08 06 04 01   ................
00f0 - 05 01 06 01 03 03 03 01-03 02 04 02 05 02 06 02   ................
0100 - 00 2b 00 09 08 03 04 03-03 03 02 03 01 00 2d 00   .+............-.
0110 - 02 01 01 00 33 00 26 00-24 00 1d 00 20 1b 7e c7   ....3.&.$... .~.
0120 - b0 ae 20 11 f2 a4 01 c8-e0 a4 b9 e8 66 d5 66 02   .. .........f.f.
0130 - 70 13 d3 7e e4 ad fe 0f-39 39 3c 81 56            p..~....99<.V
read from 0x555d7a5089c0 [0x555d7a516e53] (5 bytes => -1)
write:errno=104
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 0 bytes and written 317 bytes
Verification: OK
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
Early data was not sent
Verify return code: 0 (ok)
---
read from 0x555d7a5089c0 [0x555d7a3f1080] (8192 bytes => 0)

In the same time other sites return HTTP 200:
root@vm3226933:~# curl -vvvv --head https://pq.hosting
*   Trying 5.252.34.78:443...
* Connected to pq.hosting (5.252.34.78) port 443 (#0)
* ALPN: offers h2,http/1.1
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
*  CAfile: /etc/ssl/certs/ca-certificates.crt
*  CApath: /etc/ssl/certs
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.3 (IN), TLS handshake, Encrypted Extensions (8):
* TLSv1.3 (IN), TLS handshake, Certificate (11):
* TLSv1.3 (IN), TLS handshake, CERT verify (15):
* TLSv1.3 (IN), TLS handshake, Finished (20):
* TLSv1.3 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.3 (OUT), TLS handshake, Finished (20):
* SSL connection using TLSv1.3 / TLS_AES_256_GCM_SHA384
* ALPN: server accepted h2
* Server certificate:
*  subject: CN=*.pq.hosting
*  start date: Jun 17 13:20:00 2024 GMT
*  expire date: Jul 19 13:19:59 2025 GMT
*  subjectAltName: host "pq.hosting" matched cert's "pq.hosting"
*  issuer: C=BE; O=GlobalSign nv-sa; CN=GlobalSign GCC R6 AlphaSSL CA 2023
*  SSL certificate verify ok.
* using HTTP/2
* h2h3 [:method: HEAD]
* h2h3 [:path: /]
* h2h3 [:scheme: https]
* h2h3 [:authority: pq.hosting]
* h2h3 [user-agent: curl/7.88.1]
* h2h3 [accept: */*]
* Using Stream ID: 1 (easy handle 0x55fa9d20dce0)
> HEAD / HTTP/2
> Host: pq.hosting
> user-agent: curl/7.88.1
> accept: */*
>
* TLSv1.3 (IN), TLS handshake, Newsession Ticket (4):
* TLSv1.3 (IN), TLS handshake, Newsession Ticket (4):
* old SSL session ID is stale, removing
< HTTP/2 200
HTTP/2 200
< server: nginx
server: nginx
< date: Mon, 30 Dec 2024 19:30:55 GMT
date: Mon, 30 Dec 2024 19:30:55 GMT
< content-length: 13534
content-length: 13534
< set-cookie: __js_p_=55,1800,0,0,1; Path=/
set-cookie: __js_p_=55,1800,0,0,1; Path=/
< cache-control: no-cache
cache-control: no-cache
< content-type: text/html; charset=utf-8
content-type: text/html; charset=utf-8

<
* Connection #0 to host pq.hosting left intact

O VPS é apt-updated e apt-upgraded, tem o openssl mais recente:

root@vm3226933:~# uname -a
Linux vm3226933.stark-industries.solutions 6.1.0-26-amd64 #1 SMP PREEMPT_DYNAMIC Debian 6.1.112-1 (2024-09-30) x86_64 GNU/Linux
root@vm3226933:~# cat /etc/debian_version
12.8
root@vm3226933:~# openssl version
OpenSSL 3.0.15 3 Sep 2024 (Library: OpenSSL 3.0.15 3 Sep 2024)

Para diagnosticar o problema, instalei o Linux localmente e solicitei o site 'defeituoso':

debian12@debian12:~$ curl -vvvv --head https://openvpn.net
*   Trying 104.19.190.106:443...
* Connected to openvpn.net (104.19.190.106) port 443 (#0)
* ALPN: offers h2,http/1.1
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
*  CAfile: /etc/ssl/certs/ca-certificates.crt
*  CApath: /etc/ssl/certs
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.3 (IN), TLS handshake, Encrypted Extensions (8):
* TLSv1.3 (IN), TLS handshake, Certificate (11):
* TLSv1.3 (IN), TLS handshake, CERT verify (15):
* TLSv1.3 (IN), TLS handshake, Finished (20):
* TLSv1.3 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.3 (OUT), TLS handshake, Finished (20):
* SSL connection using TLSv1.3 / TLS_AES_256_GCM_SHA384
* ALPN: server accepted h2
* Server certificate:
*  subject: CN=*.openvpn.net
*  start date: Feb  5 21:17:59 2024 GMT
*  expire date: Feb  5 16:13:59 2025 GMT
*  subjectAltName: host "openvpn.net" matched cert's "openvpn.net"
*  issuer: C=US; ST=Arizona; L=Scottsdale; O=GoDaddy.com, Inc.; OU=http://certs.godaddy.com/repository/; CN=Go Daddy Secure Certificate Authority - G2
*  SSL certificate verify ok.
* using HTTP/2
* h2h3 [:method: HEAD]
* h2h3 [:path: /]
* h2h3 [:scheme: https]
* h2h3 [:authority: openvpn.net]
* h2h3 [user-agent: curl/7.88.1]
* h2h3 [accept: */*]
* Using Stream ID: 1 (easy handle 0x5596424bace0)
> HEAD / HTTP/2
> Host: openvpn.net
> user-agent: curl/7.88.1
> accept: */*
> 
* TLSv1.3 (IN), TLS handshake, Newsession Ticket (4):
* TLSv1.3 (IN), TLS handshake, Newsession Ticket (4):
* old SSL session ID is stale, removing
< HTTP/2 200 
HTTP/2 200 
< date: Mon, 30 Dec 2024 19:19:09 GMT
date: Mon, 30 Dec 2024 19:19:09 GMT
< content-type: text/html
content-type: text/html
< last-modified: Thu, 28 Nov 2024 17:28:54 GMT
last-modified: Thu, 28 Nov 2024 17:28:54 GMT
< etag: W/"6748a856-399b4"
etag: W/"6748a856-399b4"
< cf-cache-status: HIT
cf-cache-status: HIT
< age: 5590
age: 5590
< expires: Tue, 31 Dec 2024 00:19:09 GMT
expires: Tue, 31 Dec 2024 00:19:09 GMT
< cache-control: public, max-age=18000
cache-control: public, max-age=18000
< server: cloudflare
server: cloudflare
< cf-ray: 8fa4613e7b66f117-DME
cf-ray: 8fa4613e7b66f117-DME

< 
* Connection #0 to host openvpn.net left intact

Possui o mesmo software:

debian12@debian12:~$ uname -a
Linux debian12 6.1.0-27-amd64 #1 SMP PREEMPT_DYNAMIC Debian 6.1.115-1 (2024-11-01) x86_64 GNU/Linux
debian12@debian12:~$ cat /etc/debian_version 
12.8
debian12@debian12:~$ openssl version
OpenSSL 3.0.15 3 Sep 2024 (Library: OpenSSL 3.0.15 3 Sep 2024)

Meu provedor de hospedagem informa que os servidores bloqueiam solicitações.

Está certo ou o openssl está configurado incorretamente?

Justin Dearing

Asked: 2025-01-03 01:28:28 +0800 CST

As distribuições WSL não são instaladas no Windows Server Core 2025

6

Tenho uma VM Windows 2025 Server Core em execução no Azure. Tenho um agente de compilação do Azure Devops, um Docker para contêineres do Windows e um núcleo do PowerShell em execução nele. Tudo isso está funcionando bem.

Executei o comando WSL sem parâmetros e respondi sim ao prompt para instalar o WSL.

Então tento instalar o WSL:

PS C:\Users\azadmin> wsl --install Ubuntu-18.04
Downloading: Ubuntu 18.04 LTS
Installing: Ubuntu 18.04 LTS
PS C:\Users\azadmin> wsl
Windows Subsystem for Linux has no installed distributions.

Use 'wsl.exe --list --online' to list available distributions
and 'wsl.exe --install <Distro>' to install.

Distributions can also be installed by visiting the Microsoft Store:
https://aka.ms/wslstore
Error code: Wsl/Service/CreateInstance/GetDefaultDistro/WSL_E_DEFAULT_DISTRO_NOT_FOUND

Fiz algumas pesquisas e percebi que precisava escalar de uma série B para uma série D para habilitar a virtualização aninhada do Hyper-V quando Install-WindowsFeature Hyper-Vfalhasse. Então executei o seguinte e reiniciei:

Instalar-WindowsFeature Hyper-V,Containers,DHCP

Ainda sem mudança de comportamento.

Eu até criei uma segunda VM Server Core nova e verifiquei o mesmo comportamento.

** Windows Server 2022 **

Recebo um erro diferente com a última atualização do Server 2022Class not registered

PS C:\Users\azadmin> wsl --install -d ubuntu
Class not registered
PS C:\Users\azadmin> systeminfo | findstr /B /C:"OS Name" /C:"OS Version"
>>
OS Name:                   Microsoft Windows Server 2022 Datacenter Azure Edition
OS Version:                10.0.20348 N/A Build 20348
PS C:\Users\azadmin>

Eu até tentei Install-WindowsFeature Microsoft-Windows-Subsystem-Linux.

Tudo o que fiz foi adicionar uma linha extra à saída dewsl --install

PS C:\Users\azadmin> wsl --install
Windows Subsystem for Linux is already installed.
Class not registered
PS C:\Users\azadmin>

Deepanjan Das

Asked: 2025-01-02 06:15:03 +0800 CST

Como um host realmente processa uma solicitação ARP transmitida a ele cujo endereço IP solicitado corresponde ao seu?

5

Quando eu tenho pingum endereço IP de host na minha LAN, meu host transmite uma ARPsolicitação. Após receber uma ARPresposta do host de destino, ele inicia uma sessão de ICMP echomensagens com suas respostas.

Quando o host de destino está recebendo do ARP requestmeu host de origem, o host de destino está atualizando o ARPcache com as informações incorporadas na solicitação (já que a origem MAC addressestá presente no ARP request)?

Se sim, por que o host de destino às vezes envia outro ARP requestendereço IP para o meu host de origem e descarta todas ICMP echoas solicitações até receber um ARP replyretorno?

Observe que esse comportamento é ocasional e, às vezes, a ICMP echoresposta é feita antes de um ARP requestdo meu host de destino, mas esse tipo de resposta ARP requestsempre ocorre em algum lugar no meio de uma sessão de ping.

Não sei se isso se deve à atualização das tabelas ARP dos hosts de sessões de ping anteriores ou se o segundo ARP requesté apenas um protocolo e o host de destino já tem as informações do host de origem MAC addressdo primeiro ARP request.

Ou será que o host de destino nem precisa do host de origem MAC addressem primeiro lugar, já que ele é sempre encapsulado em cada ICMP echosolicitação e a resposta a cada uma dessas solicitações usa as informações recebidas sobre eles MAC addressese os alterna no quadro de resposta?

Edição 1: Após alguma pesquisa, descobri que o host de destino não preenche seu próprio ARP cachepassivo ARP requests, ou seja, de solicitações de outros hosts. Ele preenche seu ARP cachesomente das ARPrespostas que recebe de suas próprias solicitações.

Edição 2: Seguindo de Edit 1, o segundo ARP requestdo host de destino antes de qualquer ICMP echoresposta indica que a origem MAC addressnão está em seu ARP cacheou se tornou STALE, acionando assim outro ARP requestantes de responder à ICMP echosolicitação. (Às vezes, um STALEendereço é primeiro verificado por meio de uma sondagem e, se o mapeamento for inválido ou a sondagem expirar, a nova sondagem ARP requestocorre.

Assim, o segundo ARP requestocorrendo no meio da pingsessão, indica que a fonte MAC addresstinha se tornado STALEno meu host de destino ARP cachedevido a alguns ARP timeout value(configurado em 60 segundos em meus hosts), o que disparou um segundo ARP request. Além disso, essas segundas ARPsolicitações esclarecem que, embora o host de destino não precise que a fonte MAC addressseja preenchida em seu ARP cachee use as informações sobre ARP requesta fonte MAC addresspara responder a ela, ele realmente precisa saber a fonte MAC addresspara responder a uma TCMP echosolicitação.

Ainda assim, quaisquer respostas que elaborem ou corrijam quaisquer erros nas descobertas acima são muito apreciadas.

ipTables bloqueando tráfego da porta 25 do IPv4 apesar de permitir IPv6. Pode ser corrigido?

Como configurar o Fail2Ban para bloquear todos os protocolos (TCP, UDP, ICMP) em vez de apenas o TCP?

O limite de conexão HAProxy por servidor backend é limitado a port_range

O usuário tem controle total sobre o arquivo, mas ainda recebe "você não tem permissão para abrir este arquivo" no Windows Server 2022

o servidor web não pode ser acessado de fora do servidor

erros do memtester ocorreram em loop sequencial

O RHEL9 subscription-manager não consegue diferenciar minha VM original e a VM clonada

O handshake TLS falha em alguns sites

As distribuições WSL não são instaladas no Windows Server Core 2025

Como um host realmente processa uma solicitação ARP transmitida a ele cujo endereço IP solicitado corresponde ao seu?

Você pode passar usuário/passar para autenticação básica HTTP em parâmetros de URL?

Ping uma porta específica

Verifique se a porta está aberta ou fechada em um servidor Linux?

Como automatizar o login SSH com senha?

Como posso dizer ao Git para Windows onde encontrar minha chave RSA privada?

Qual é o nome de usuário/senha de superusuário padrão para postgres após uma nova instalação?

Qual porta o SFTP usa?

Linha de comando para listar usuários em um grupo do Windows Active Directory?

O que é um arquivo Pem e como ele difere de outros formatos de arquivo de chave gerada pelo OpenSSL?

Como determinar se uma variável bash está vazia?

All perguntas(server)