Возможно
Ну тут овнер Фил, он считает что вакансии можно постить)
Vladimir
Anonymous
Vladimir
А хорошие даже нужно
Dmitry
вакансии всяко лучше хрычанки или разговор что лучше - спотифай\яндекс\гп
Анатолий
гп лучше, а что такое гп?
Max
да
Sergei
черная гермиона!
Max
лол
Jenny
гугл плей
Анатолий
да я понял, я прикалываюсь
🇷🇺 Роман
G72K
http://pidora.ca/
🇷🇺 Роман
дада )
Dmitry
после пихуля
Михаил
пихуль
Denis 災 nobody
пиксель?
Oleh
пихуль
Andrey
Есть сервер на Linux, на нем приложение на go (вебсокеты обрабатывает), с интервалом в 30 секунд получаю ошибку: read tcp x.x.x.x:443->y.y.y.y:59254: read: no route to host, куда копать?
Vladimir
Maxim
ага
Andrey
а не в сторону каких-то настроек ядра или еще чего?
G72K
Andrey
вот меня тоже это удивило
Maxim
я такие ловлю с похожими приложениями, когда именно сетевая проблема. То есть твой веб сервер с 443 порта не может отдать ответ на звпрос с IP y.y.y.y
Кстати, пару раз видел таких DDOS ботов - по факту контейнеры , которые существют несколько секунд. И вот когда твой сервак отправляет ему запрос - его уже нету в природе, поэтому no rote to host . и такое бывает =)
Andrey
коннект не обрывается, всё ок дальше работает
Maxim
да, странное поведение
G72K
Попробуйте по strace отловить , какая ошибка на самом деле
Andrey
хмм, а может GC в это время срабатывает
Andrey
так, это не раз в 30 секунд, это #@$% systemd мне не все логи показывает
ANRZ Andrii
Господа, а кто-то сталкивался с тем что в докер-регистри нельзя загрузить имедж больше чем на 255 мбайт?
Анатолий
Pavel
По четвертинке каждому
Sergey
Пятничного настроения вам в ленту!
https://goo.gl/s5GAAh
Denis
Anonymous
всем привет (оффтоп: @rossmohax почему я вижу тебя на всех каналах куда захожу? :)
Tadeusz
ночной kernel panic http://uploads.ru/1ymah.png
Slach
кто нибудь mitmproxy настраивал transparent proxy?
root@vagrant-chatbot-ahavision-com:/vagrant# bash -xe ./deployment/vagrant/mitmproxy/configure_iptables.sh
+ CLIENT_NET=10.0.2.2/24
+ TABLE_ID=777
+ MARK=777
+ echo '777 mitmproxy'
+ iptables -t mangle -A PREROUTING -d 10.0.2.2/24 -j MARK —set-mark 777
+ iptables -t nat -A PREROUTING -p tcp -s 10.0.2.2/24 —match multiport —dports 80,443 -j REDIRECT —to-port 8080
+ ip rule add fwmark 777 lookup 777
+ ip route add local 10.0.2.2/24 dev lo table 777
RTNETLINK answers: Invalid argument
че ей письке не нравится в посленей команде?
man ip route курил, вроде я все павильно делаю
хочу локальную сетку просто в табличку завернуть по 443 и 80 порту исходящие соединения
🇷🇺 Роман
Roman
ip route add local 10.0.2.2/24 dev lo table 777
тут local для чего написано?
Чтобы машина всю 10.0.2/24 считала локальными адресами
🇷🇺 Роман
было бы не плохо увидеть вывод: ip r list table local
Slach
было бы не плохо увидеть вывод: ip r list table local
broadcast 10.0.2.0 dev enp0s3 proto kernel scope link src 10.0.2.15
local 10.0.2.15 dev enp0s3 proto kernel scope host src 10.0.2.15
broadcast 10.0.2.255 dev enp0s3 proto kernel scope link src 10.0.2.15
broadcast 127.0.0.0 dev lo proto kernel scope link src 127.0.0.1
local 127.0.0.0/8 dev lo proto kernel scope host src 127.0.0.1
local 127.0.0.1 dev lo proto kernel scope host src 127.0.0.1
broadcast 127.255.255.255 dev lo proto kernel scope link src 127.0.0.1
broadcast 172.16.2.0 dev enp0s8 proto kernel scope link src 172.16.2.79
local 172.16.2.79 dev enp0s8 proto kernel scope host src 172.16.2.79
broadcast 172.16.2.255 dev enp0s8 proto kernel scope link src 172.16.2.79
broadcast 172.17.0.0 dev docker0 proto kernel scope link src 172.17.0.1 linkdown
local 172.17.0.1 dev docker0 proto kernel scope host src 172.17.0.1
broadcast 172.17.255.255 dev docker0 proto kernel scope link src 172.17.0.1 linkdown
Slach
может надо dev lo на dev enp0s3 заменить?
🇷🇺 Роман
Slach
я бы тут для красоты подсети задал именно подсетями, а не конкретными адресами
а я разве не так задаю?
🇷🇺 Роман
не так
🇷🇺 Роман
10.0.2.2/24 - это хост, подсеть - 10.0.2.0/24
Slach
а опс
Slach
вот наверное в чем косяк
Slach
точно! получилось
спасибо
Slach
щас буду пробовать
Slach
👍
так, а вот если у меня исходящие соединения с 10.0.2.15 они же попадают под маску 10.0.2.0/24?
CLIENT_NET=10.0.2.0/24
TABLE_ID=777
MARK=777
echo "$TABLE_ID mitmproxy" >> /etc/iproute2/rt_tables
iptables -t mangle -A PREROUTING -d $CLIENT_NET -j MARK --set-mark $MARK
iptables -t nat -A PREROUTING -p tcp -s $CLIENT_NET --match multiport --dports 80,443 -j REDIRECT --to-port 8080
ip rule add fwmark $MARK lookup $TABLE_ID
ip route add local $CLIENT_NET dev lo table $TABLE_ID
🇷🇺 Роман
попадают
Slach
просто сейчас входящие соединения перехватились
но мне надо перехватить исходящие соединения
а они почему то не перехватываются
🇷🇺 Роман
надо, чтобы исходящие с src 10.0.2.15 роутились на lo?
Slach
да, именно, но так вроде ж так и настроено ? разве нет?
на :::8080 висит mitmproxy
правда собака он почему то в ipv6 висит может стоит его сбиндить на 0.0.0.0 в ipv4?
🇷🇺 Роман
он висит и на ipv4 и на ipv6
🇷🇺 Роман
возможно, надо такую штуку впилить:
echo 1 > /proc/sys/net/ipv4/conf/enp0s3/accept_local
Slach
сделал, ноль эмоций
входящие соединения mitmproxy видит
исходящие нет
исходящие в tcpdump выглядят так
http://take.ms/gXD13
🇷🇺 Роман
а исходящий локальный трафик? не с контейнера на хосте?
Slach
нет он из виртуалки н
т.е. я внутри virtualbox vagrant просто mitmproxy пытаюсь поднять
роутинг через NAT вроде правильно настроен должен редиректы включаь
root@vagrant-chatbot-ahavision-com:/home/vagrant# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DOCKER all -- anywhere anywhere ADDRTYPE match dst-type LOCAL
REDIRECT tcp -- 10.0.2.0/24 anywhere multiport dports http,https redir ports 8080
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
DOCKER all -- anywhere !127.0.0.0/8 ADDRTYPE match dst-type LOCAL
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- 172.17.0.0/16 anywhere
Chain DOCKER (2 references)
target prot opt source destination
RETURN all -- anywhere anywhere
🇷🇺 Роман
схема не совсем понятна... исходящий трафик откуда именно появляется? как, вообще, все выглядит и что нужно добиться? ))
Slach
исходящий трафик появляется из приложения, моего
которое юзает "хитрую SDK"
которая наружу в интернет общается по https с хостом api.recast.io
я этой дурацкой SDK скармливаю нормальнные данные а она в ответ возвращает 500 http error
трафик в tcpdump я вижу
хочу увидеть что дурная SDK отсылает по https
какой JSON ...
вот хочу это сделать через mitmproxy
а он почему то этот исходящий трафик игнорирует
хотя вроде бы не должен потому что трафик должен зарочиваться с 443 порта на 8080 =(
🇷🇺 Роман
а приложение работает на хосте 10.0.2.15? или где?
Dmitrii
исходящий трафик появляется из приложения, моего
которое юзает "хитрую SDK"
которая наружу в интернет общается по https с хостом api.recast.io
я этой дурацкой SDK скармливаю нормальнные данные а она в ответ возвращает 500 http error
трафик в tcpdump я вижу
хочу увидеть что дурная SDK отсылает по https
какой JSON ...
вот хочу это сделать через mitmproxy
а он почему то этот исходящий трафик игнорирует
хотя вроде бы не должен потому что трафик должен зарочиваться с 443 порта на 8080 =(
Выкини свой митм прокси, вот железобетонный вариант: https://blog.heckel.xyz/2013/08/04/use-sslsplit-to-transparently-sniff-tls-ssl-connections/
Dmitrii
Заливаешь корневой сертификат в телефон и по инструкции по ссылке
🇷🇺 Роман
думаю, тебе надо MARK сунуть в OUTPUT
Slach
iptables -t mangle -A PREROUTING -d $CLIENT_NET -j MARK —set-mark $MARK
? что здесь поменять???
-A PREROUNTING заменить на -A OUTPUT ?
🇷🇺 Роман
iptables -t mangle -A PREROUTING -d $CLIENT_NET -j MARK —set-mark $MARK
? что здесь поменять???
-A PREROUNTING заменить на -A OUTPUT ?
да, только заодно можно правило построже сделать
Dmitrii
у меня не телефон =)
А на самом деле система та же. Корневой сертификат в приложении главное подмени чтобы на хендшейке оно его найти смогло и верифицировать чейн смогло
🇷🇺 Роман
ну, указать интерфейсы, например ))