дано
gitlab-ee.x86_64 12.0.2-ee.0.el7
фронтендом
nginx.x86_64 100:1.17.3-1.p6.0.3.el7 @passenger

в гитлабе большая репа (почти 9Г)

при клонировании по https на той же машине где расположен гитлаб все работает

на соседней
remote: Enumerating objects: 86719, done.
remote: Counting objects: 100% (86719/86719), done.
remote: Compressing objects: 100% (71259/71259), done.
fatal: The remote end hung up unexpectedly0 GiB | 10.73 MiB/s
fatal: early EOF
fatal: index-pack failed

понятно что какой-то таймаут, но какой ?

вот это уже выкрутил
unicorn['worker_timeout'] = 600

ps. переход на ssh очевиден, но меня интересуют причины такой ситуации

# uname -a
Linux mail 3.10.0-514.6.1.el7.x86_64 #1 SMP Wed Jan 18 13:06:36 UTC 2017 x86_64 x86_64 x86_64 GNU/Linux
# netstat -etnlp | grep '\-'
Proto Recv-Q Send-Q Local Address Foreign Address State User Inode PID/Program name
tcp 0 0 0.0.0.0:29172 0.0.0.0:* LISTEN 0 77404 -
tcp6 0 0 :::26945 :::* LISTEN 0 77405 -
# telnet localhost 29172
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
sd
Connection closed by foreign host.
# telnet localhost 26945
Trying 127.0.0.1...
telnet: connect to address 127.0.0.1: Connection refused
Trying ::1...
telnet: connect to address ::1: No route to host

ну нет на машине ipv6

# lsof -i4tcp:29172
# lsof -i6tcp:26945
# find -inum 77404
# find -inum 77405
# ss -p | grep -w 29172
# lsof | grep -w 77404

в iptables только базовый INPUT

как понять кто слушает порт?

у клиента nginx проксирует запросы на tomcat. tomcat должен возвращать 301 с хитрым url, но у него регулярно затекает мозг и он периодически начинает возвращать 200. Помогает рестарт. Клиент просит временно, пока они разбираются с явой сделать перехват этих 200 с преобразованием в 301, подобного тому что делает tomcat, но по упрощенной схеме. Вот никак не соображу как этот перехват сделать.

для error_page 200 ессно ругань
nginx: [emerg] value "200" must be between 300 and 599

proxy_intercept_errors аналогично "с кодом больше либо равным 300"

Парни, я пытаюсь найти описание процедуры взаимодействия регистраторов и корневых серверов и ничего связного найти не могу. Ну кроме этого.
"Технические функции регистратора доменов состоят в поддержании базы данных зарегистрированных доменов, предоставлении всем желающим доступа к этой базе по протоколу whois, а также в поддержании DNS-сервера (серверов) соответствующей зоны с NS-записями для всех зарегистрированных доменов."
https://ru.wikipedia.org/wiki/Регистратор_доменных_имён

Проблема следующая, у клиента несколько тысяч доменов, для которых указаны на reg.ru
ns1.exmple.ru
ns2.exmple.ru
днс хостинг свой на hetzner, включая домен exmple.ru

потом dns хостинг exmple.ru, был унесен на claudflare. Сделано это было больше месяца назад. ip для
ns1.exmple.ru
ns2.exmple.ru
были изменены на адреса claudflare.

на регру для exmple.ru указаны
nserver: noah.ns.cloudflare.com.
nserver: uma.ns.cloudflare.com.

но до сих пор корневые серверы почему-то возвращают для всех этих доменов ip адреса ns1.exmple.ru/ns2.exmple.ru хетцеровские. В то время как они давно поменялись.

имеем судя по всему виндовый l2tp сервер за файрволом
согласно
https://blogs.technet.microsoft.com/rrasblog/2006/06/14/which-ports-to-unblock-for-vpn-traffic-to-pass-through/
он юзает
For L2TP:
IP Protocol Type=UDP, UDP Port Number=500 <- Used by IKEv1 (IPSec control path)
IP Protocol Type=UDP, UDP Port Number=4500 <- Used by IKEv1 (IPSec control path)
IP Protocol Type=ESP (value 50) <- Used by IPSec data path

из винды цепляюсь без проблем. И как показывает tcpdump никакого 1701/udp там не бегает. Но мне нужно подцепить туда linux. И вот тут я туплю, тк xl2tpd знать ничего не хочет про 4500, даже если я явно указываю

[global]
port = 4500

как клиент он ломит на 1701. Может кто разруливал подобное?

на fbsd strongswan как клиент (IKEV2 EAP_MSCHAPV2)
облом на этапе создания tun0

installing new virtual IP 10.0.42.3
created TUN device: tun0
virtual IP 10.0.42.3 did not appear on tun0
installing virtual IP 10.0.42.3 failed

это те же грабли?
https://wiki.strongswan.org/issues/566

у кого-нибудь работает?

ps.
root@fbsdap:~ # pkg info | grep stron
strongswan-5.8.0 Open Source IKEv2 IPsec-based VPN solution
root@fbsdap:~ # uname -a
FreeBSD fbsdap 11.2-RELEASE-p10 FreeBSD 11.2-RELEASE-p10 #0: Mon May 13 21:20:50 UTC 2019 root@amd64-builder.daemonology.net:/usr/obj/usr/src/sys/GENERIC amd64

Давно уже использовал у себя cyrus в качестве Pop3 и Imap-сервера. А сейчас обновил Debian с 7 версии на 8, и почему-то случилась серьёзная ошибка:

Пока cyrus не запущен, sendmail принимает письма на местные адреса, и держит их у себя, указывая в логе, что "Could not connect to socket /var/run/cyrus/socket/lmtp". То есть, эти адреса считаются нормальными.

А когда включаю cyrus, sendmail пишет "stat=User unknown", и отправляет обратно письма о том, что эти адреса не существуют.

Хотя, запуская listmailbox в cyradm, все эти адреса вполне вижу. И пользователи успешно подключаются к этому Pop3/Imap, используя эти свои адреса.

Есть у кого идеи, отчего такое могло случиться, и как это можно исправить, чтобы письма успешно доставлялись в cyrus?

UPD: похоже, при обновлении пакетов при обновлении Debian'а что-то дефектное случилось в sendmail.cf . Я его сейчас переделал, просто запустив build.sh в /etc/mail/ , и после перезапуска sendmail'а с этим новым sendmail.cf (который оказался довольно меньше прежнего - 67K вместо 81K), вроде всё стало нормально работать - письма теперь успешно доставляются в /var/spool/cyrus/mail/...

приветствую!

есть ли у коллективного разума мысли по поводу организации сколь угодно большого массива для очень холодного хранения данных? или, возможно, кто-то уже сделал и молчит?

а именно, как создать систему хранения которая бы решала задачи, стоящие перед некоторыми из нас по части реализации закона яровой? ведь что нам надо получить по итогу:
1. запись со скоростью снимаемого потока информации
2. абсолютно неважна скорость чтения
3. под большим вопросом необходимость дупликации информации, но скорее да чем нет
4. возможность добавлять объем хранилища на лету
5. возможность замены вылетевших дисков
6. цена = стоимость дисков  + стоимость необходмого железа
7. сложность создания и настройки системы не нормируется

архитектура системы, которая первая приходит в голову, будет таковой:
1. съемники потока, к которым подключено хранилище. тут сразу желательно разбивать поток на какие-то блоки, напрашивается разбивка по netflow. должны быть легко добавляемы. возможно, между устройствами, шлющими (интересное слово) потоки и съемниками должен стоять какой-то диспетчер, но может быть и нет. (*nix)
2. ядра хранения, должны быть заменяемы, собирают сеть в хранилище (*nix)
3. сеть хранения, состоящая из серверов, контроллеров и дисков, цена железа должна быть минимальной, диски самыми дешевыми.

пока не придумывается ничего лучше чем отдавать каждый диск с железок (3) по iscsi, собирать из них одну большую  хранилку на ZFS на ядрах (2), и раздавать её nfsv4 съемникам (1).

есть более светлые мысли?

Хотя VPN - это virtual PRIVATE network, но я знаю, что в IPSec можно использовать не только приватные, но и публичные IP-адреса.
А можно ли как-то сконфигурировать через IPSec (или через OpenVPN) доступ ко всем публичным адресам, чтобы через этот туннель можно было соединяться не только с внутренними машинами, а и выходить в интернет наружу, куда угодно?