База знаний - Вклад участника [ru]

AmneziaWG

2025-12-06T13:44:24Z

Admin:

[[category:Linux]]

== Хитрый VPN сервер на основе WireGuard ==
AmneziaWG - это Wireguard, но допиленный на имитацию себя под обычный трафик. Wireguard могут блокировать различные провайдеры, этот пока обходит блокировки.

Информация отсюда:

- https://docs.amnezia.org/ru/documentation/amnezia-wg

- https://github.com/openwrt-xiaomi/awg-openwrt/wiki/AmneziaWG-installing

=== Краткое изложение: ===

Обновляемся и разрешаем маршрутизацию трафика для драйвера AWG:
apt update
apt upgrade -y
echo "net.ipv4.ip_forward = 1" > /etc/sysctl.conf
reboot

Устанавливаем пакеты:
add-apt-repository -y ppa:amnezia/ppa
apt install -y amneziawg curl wget python3 python3-qrcode libxcb-xinerama0 libxcb-cursor0 qrencode
mkdir /etc/amnezia/clients
cd /etc/amnezia/clients
wget -O awgcfg.py https://gist.githubusercontent.com/remittor/8c3d9ff293b2ba4b13c367cc1a69f9eb/raw/awgcfg.py

Предположим, что мы выбрали номер UDP-порта: 49666, подсеть vpn: 10.9.9.1/24

Генерируем основной конфиг AWG:
python3 awgcfg.py --make /etc/amnezia/amneziawg/awg0.conf -i 10.9.9.1/24 -p 49666

Генерируем конфиг-шаблон, который будет использоваться для создания клиентских конфигов и QR-кодов:
python3 awgcfg.py --create

В строке вывода должны быть указаны реальные адреса. В случае ошибки, можно поправить руками в файле ''_defclient.config''. Так же рекомендую заменить в этом файле '''AllowedIPs''' на '''0.0.0.0/0''', если это не противоречит настройкам. Чем меньше получится сам файл, тем компактнее будет qr-код ;)

Поднимаем туннельный интерфейс AWG:
awg-quick up awg0

Проверяем созданный основной AWG-конфиг:
awg showconf awg0

Проверяем созданный AWG-интерфейс:
awg show

Выключаем туннельный интерфейс AWG:
awg-quick down awg0

Добавляем в автозагрузку поднятие AWG-интерфейса:
systemctl enable --now awg-quick@awg0
systemctl restart awg-quick@awg0.service

Ещё раз проверяем статус AWG:
awg show

Рекомендую отдельно вынести команды по изменению Firewall по поднятию и опусканию интерфейса. Это можно сделать в файле '''/etc/amnezia/amneziawg/awg0.conf''':
PostUp = /etc/amnezia/amneziawg/awg-up.sh
PostDown = /etc/amnezia/amneziawg/awg-down.sh

В этих файлах прописать все необходимые команды, например так:

/etc/amnezia/amneziawg/awg-up.sh:
iptables -I INPUT -p udp --dport 49666 -m conntrack --ctstate NEW -j ACCEPT
iptables -I FORWARD -i awg0 -j ACCEPT
iptables -t nat -I POSTROUTING -o eth0 -j MASQUERADE
ip6tables -I FORWARD -i awg0 -j ACCEPT
ip6tables -t nat -I POSTROUTING -o eth0 -j MASQUERADE

/etc/amnezia/amneziawg/awg-down.sh
iptables -D INPUT -p udp --dport 49666 -m conntrack --ctstate NEW -j ACCEPT
iptables -D FORWARD -i awg0 -j ACCEPT
iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
ip6tables -D FORWARD -i awg0 -j ACCEPT
ip6tables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

Для создания пользователей предлагаю такой скрипт. Он умеет показывать уже созданных пользователей, а так же создает новых. Так же показывает конфиг и QR код прямо в консоли для настройки клиента.
<pre>
#!/bin/bash

if [ "$1" == "" ]; then
echo -e "\n VPN Client configs:"
cat /etc/amnezia/amneziawg/awg0.conf | grep "_Name" | sed "s/^.* = /\t/"
echo -e "=================================="
echo -e "\n\tUsage: $0 <UserName>\n"
exit 1
fi

cd /etc/amnezia/clients
python3 awgcfg.py -a $1 2>/dev/null
python3 awgcfg.py -c
awg-quick down awg0
awg-quick up awg0

echo -e "\nClient config for AmneziaWG:"
echo -e "==================================\n"
cat /etc/amnezia/clients/$1.conf
echo -e "==================================\n"

qrencode -t ansiutf8 -r $1.conf
rm -f *.conf
</pre>

AmneziaWG

2025-12-06T13:41:04Z

Admin:

[[category:Linux]]

== Хитрый VPN сервер на основе WireGuard ==
AmneziaWG - это Wireguard, но допиленный на имитацию себя под обычный трафик. Wireguard могут блокировать различные провайдеры, этот пока обходит блокировки.

Информация отсюда:

- https://docs.amnezia.org/ru/documentation/amnezia-wg

- https://github.com/openwrt-xiaomi/awg-openwrt/wiki/AmneziaWG-installing

=== Краткое изложение: ===

Обновляемся и разрешаем маршрутизацию трафика для драйвера AWG:
apt update
apt upgrade -y
echo "net.ipv4.ip_forward = 1" > /etc/sysctl.conf
reboot

Устанавливаем пакеты:
add-apt-repository -y ppa:amnezia/ppa
apt install -y amneziawg curl wget python3 python3-qrcode libxcb-xinerama0 libxcb-cursor0 qrencode
mkdir /etc/amnezia/clients
cd /etc/amnezia/clients
wget -O awgcfg.py https://gist.githubusercontent.com/remittor/8c3d9ff293b2ba4b13c367cc1a69f9eb/raw/awgcfg.py

Предположим, что мы выбрали номер UDP-порта: 49666, подсеть vpn: 10.9.9.1/24

Генерируем основной конфиг AWG:
python3 awgcfg.py --make /etc/amnezia/amneziawg/awg0.conf -i 10.9.9.1/24 -p 49666

Генерируем конфиг-шаблон, который будет использоваться для создания клиентских конфигов и QR-кодов:
python3 awgcfg.py --create

В строке вывода должны быть указаны реальные адреса. В случае ошибки, можно поправить руками в файле ''_defclient.config''. Так же рекомендую заменить в этом файле '''AllowedIPs''' на '''0.0.0.0/0''', если это не противоречит настройкам. Чем меньше получится сам файл, тем компактнее будет qr-код ;)

Поднимаем туннельный интерфейс AWG:
awg-quick up awg0

Проверяем созданный основной AWG-конфиг:
awg showconf awg0

Проверяем созданный AWG-интерфейс:
awg show

Выключаем туннельный интерфейс AWG:
awg-quick down awg0

Добавляем в автозагрузку поднятие AWG-интерфейса:
systemctl enable --now awg-quick@awg0
systemctl restart awg-quick@awg0.service

Ещё раз проверяем статус AWG:
awg show

Рекомендую отдельно вынести команды по изменению Firewall по поднятию и опусканию интерфейса. Это можно сделать в файле '''/etc/amnezia/amneziawg/awg0.conf''':
PostUp = /etc/amnezia/amneziawg/awg-up.sh
PostDown = /etc/amnezia/amneziawg/awg-down.sh

В этих файлах прописать все необходимые команды, например так:

/etc/amnezia/amneziawg/awg-up.sh:
iptables -I INPUT -p udp --dport 49666 -m conntrack --ctstate NEW -j ACCEPT
iptables -I FORWARD -i awg0 -j ACCEPT
iptables -t nat -I POSTROUTING -o eth0 -j MASQUERADE
ip6tables -I FORWARD -i awg0 -j ACCEPT
ip6tables -t nat -I POSTROUTING -o eth0 -j MASQUERADE

/etc/amnezia/amneziawg/awg-down.sh
iptables -D INPUT -p udp --dport 49666 -m conntrack --ctstate NEW -j ACCEPT
iptables -D FORWARD -i awg0 -j ACCEPT
iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
ip6tables -D FORWARD -i awg0 -j ACCEPT
ip6tables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

Для создания пользователей предлагаю такой скрипт:
<pre>
#!/bin/bash

if [ "$1" == "" ]; then
echo -e "\n VPN Client configs:"
cat /etc/amnezia/amneziawg/awg0.conf | grep "_Name" | sed "s/^.* = /\t/"
echo -e "=================================="
echo -e "\n\tUsage: $0 <UserName>\n"
exit 1
fi

cd /etc/amnezia/clients
python3 awgcfg.py -a $1 2>/dev/null
python3 awgcfg.py -c
awg-quick down awg0
awg-quick up awg0

echo -e "\nClient config for AmneziaWG:"
echo -e "==================================\n"
cat /etc/amnezia/clients/$1.conf
echo -e "==================================\n"

qrencode -t ansiutf8 -r $1.conf
rm -f *.conf
</pre>

AmneziaWG

2025-12-06T13:11:00Z

Admin:

https://docs.amnezia.org/ru/documentation/amnezia-wg

https://github.com/openwrt-xiaomi/awg-openwrt/wiki/AmneziaWG-installing

<pre>
#!/bin/bash
# From: https://github.com/openwrt-xiaomi/awg-openwrt/wiki/AmneziaWG-installing

if [ "$1" == "" ]; then
echo -e "\n VPN Client configs:"
cat /etc/amnezia/amneziawg/awg0.conf | grep "_Name" | sed "s/^.* = /\t/"
echo -e "=================================="
echo -e "\n\tUsage: $0 <UserName>\n"
exit 1
fi

cd /etc/amnezia/clients
python3 awgcfg.py -a $1 2>/dev/null
python3 awgcfg.py -c
awg-quick down awg0
awg-quick up awg0

echo -e "\nClient config for AmneziaWG:"
echo -e "==================================\n"
cat /etc/amnezia/clients/$1.conf
echo -e "==================================\n"

qrencode -t ansiutf8 -r $1.conf
rm -f *.conf
</pre>

AmneziaWG

2025-12-06T13:05:26Z

Admin:

https://docs.amnezia.org/ru/documentation/amnezia-wg

https://github.com/openwrt-xiaomi/awg-openwrt/wiki/AmneziaWG-installing

#!/bin/bash

# https://github.com/openwrt-xiaomi/awg-openwrt/wiki/AmneziaWG-installing

if [ "$1" == "" ]; then
echo -e "\n VPN Client configs:"
cat /etc/amnezia/amneziawg/awg0.conf | grep "_Name" | sed "s/^.* = /\t/"
echo -e "=================================="
echo -e "\n\tUsage: $0 <UserName>\n"
exit 1
fi

cd /etc/amnezia/clients
python3 awgcfg.py -a $1 2>/dev/null
python3 awgcfg.py -c
awg-quick down awg0
awg-quick up awg0

echo -e "\nClient config for AmneziaWG:"
echo -e "==================================\n"
cat /etc/amnezia/clients/$1.conf
echo -e "==================================\n"

qrencode -t ansiutf8 -r $1.conf
rm -f *.conf

AmneziaWG

2025-12-06T13:04:58Z

Admin: Новая страница: « https://docs.amnezia.org/ru/documentation/amnezia-wg https://github.com/openwrt-xiaomi/awg-openwrt/wiki/AmneziaWG-installing #!/bin/bash # https://github.c…»

Cookie как механизм для выбора upstream

2025-03-28T09:32:07Z

Admin:

[[category:Nginx]]
'''С помощью данного механизма можно принудительно выбирать upstream, на который будет переправлен запрос.'''

Выделяем каждый backend в отдельную upstream секцию(лучше это сделать в отдельном config):
<pre>
# Конфигурация Upstream для mysite.example.ru

upstream my-app {
server 10.10.1.21:443 max_fails=30 fail_timeout=10s;
server 10.10.1.22:443 max_fails=30 fail_timeout=10s;
server 10.10.1.23:443 max_fails=30 fail_timeout=10s;
## server 127.0.0.1:481; # Заглушка (на время обслуживания)
}

upstream my-app-1 {
server 10.10.1.21:443;
}
upstream my-app-2 {
server 10.10.1.22:443;
}
upstream my-app-3 {
server 10.10.1.23:443;
}
upstream my-app-4 {
server 10.10.1.24:443;
}
</pre>

В основном конфиге пропишем примерно так:
<pre>
# upstream по умолчанию
set $app_upstream_selected https://my-app;
# Если установлен Cookie, и он в пределах [1-4] отправим на конкретный upstream
if ($cookie_MYAPP ~* "^([1-4])$") {
set $app_num "$1";
set $app_upstream_selected https://my-$app_num;
}

location / {
# Установим Cookie, если пошли по пути /app-[1-4] в значение номера бекенда.
if ($request_uri ~* "^/app-([1-4])$") {
set $app_num "$1";
add_header Set-Cookie "myapp=$app_num; Max-Age=86400"; # Время жизни в секундах
rewrite ^ https://$host;
}
if ($request_uri ~* "^/app-all$") {
add_header Set-Cookie "myapp=0; Max-Age=1";
rewrite ^ https://$host;
}

proxy_pass $app_upstream_selected;
</pre>

Cookie как механизм для выбора upstream

2025-03-28T09:17:12Z

Admin: Новая страница: «category:Nginx * С помощью данного механизма можно принудительно выбирать upstream, на который бу…»

[[category:Nginx]]
* С помощью данного механизма можно принудительно выбирать upstream, на который будет переправлен запрос.

Nginx

2025-03-28T09:14:14Z

Admin: Новая страница: «category:Linux»

[[category:Linux]]

RedOS - ubi

2025-03-13T10:22:08Z

Admin:

[[category:Docker]]

'''Листинг доступных образов в репозитории RedOS:'''
<pre>curl -X GET https://registry.red-soft.ru/v2/_catalog</pre>

'''Листинг доступных тегов для "ubi8/ubi-minimal'''
<pre>curl -X GET https://registry.red-soft.ru/v2/ubi8/ubi-minimal/tags/list</pre>

Инфа взята отсюда: [https://www.baeldung.com/ops/docker-registry-api-list-images-tags]

2020-07-03T04:21:16Z

Admin: Новая страница: «category:Linux '''Установка Centos 8.x''' (мой дополняемый вариант:) Открываем консоль и смотрим ip а…»

Ограничение размера диска

2020-03-23T05:04:24Z

Admin:

[[category:Linux]]
'''Ограничение размера диска в Linux'''

1.создаем файлик размером 2 терабайта, указываем размер блоков и их количество
dd if=/dev/zero of=/export/disk1/disk1.fs bs=1024 count=2097152000

2.на файлик делаем права
chmod 770 /export/disk1/disk1.fs
chown bsoft.bsoft /export/disk1/disk1.fs

3.форматируем его в ext3
mkfs.ext3 /export/disk1/disk1.fs

4.монтируем файлик в нужное место
mount -t ext3 -o loop /export/disk1/disk1.fs /srv/www/disk_limit1

6.добавляем в /etc/fstab строчку на будущее
/export/disk1/disk1.fs /srv/www/disk_limit1 auto auto,loop 0 0

Информацию взял [https://tuxnotes.com/snippet/%D0%BE%D0%B3%D1%80%D0%B0%D0%BD%D0%B8%D1%87%D0%B8%D1%82%D1%8C-%D1%80%D0%B0%D0%B7%D0%BC%D0%B5%D1%80-%D0%BF%D0%B0%D0%BF%D0%BA%D0%B8-%D0%BA%D0%B0%D1%82%D0%B0%D0%BB%D0%BE%D0%B3%D0%B0-%D0%B4%D0%B8%D1%80%D0%B5%D0%BA%D1%82%D0%BE%D1%80%D0%B8%D0%B8-%D0%B2-linux-%D0%B4%D0%BB%D1%8F-vsftd здесь]

2018-11-22T03:54:00Z

Admin:

[[category:Linux]]
'''Установка Centos''' (мой дополняемый вариант:)

Открываем консоль и смотрим ip адрес (ну, нету утилиты ifconfig :) ):
ip address show

Если адреса нет, скорее всего интерфейс не поднят - поднимаем (наверное это фича, а не баг):
ifup <имя интерфейса>

Далее можно все делать по ssh.

Установим минимальный набор ПО:
yum install -y epel-release
yum install -y net-tools bind-utils mc tcpdump fail2ban

Пропишем нормальные обозначения для интерфейсов:
ifconfig |grep ether|grep "thernet"|awk -F " " 'BEGIN {i=0}{print "SUBSYSTEM==\"net\", ACTION==\"add\", DRIVERS==\"?*\", ATTR{address}==\"" $2'\
'"\", ATTR{type}==\"1\", NAME=\"eth" i "\"";i++ }' >> /etc/udev/rules.d/70-persistent-net.rules

Сделаем файлики для каждого интерфейса по образу и подобию этого:
echo "DEVICE=eth0
TYPE=Ethernet
ONBOOT=yes
BOOTPROTO=dhcp
#BOOTPROTO=static
#IPADDR=10.0.0.1
#NETMASK=255.255.255.248
#GATEWAY=10.0.0.2
ARPCHECK=no" > /etc/sysconfig/network-scripts/ifcfg-eth0

Удалим там же старые файлики для "кривых" интерфейсов

Выключаем selinux!!! (ну... как-то так :)
sed -i "s/^SELINUX=enforcing/SELINUX=disabled/" /etc/selinux/config
setenforce 0

Выключаем и выкашиваем из автозагрузки ненавистный firewalld:
systemctl stop firewalld
systemctl disable firewalld
yum remove -y firewalld firewalld-filesystem

Пишем правила для iptables: vi /etc/sysconfig/iptables
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:SSH-ALLOW - [0:0]
#
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
# -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
# -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
## ** разрешим отвечать на запрос ** ##
-A INPUT -p icmp --icmp-type echo-request -j ACCEPT
#
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j SSH-ALLOW
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
#
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
#
# ----- SSH Allow -------
# Разрешенные адреса для SSH клиентов
-A SSH-ALLOW -s 111.111.111.111 -j ACCEPT
-A SSH-ALLOW -s 222.222.222.222 -j ACCEPT
#-A SSH-ALLOW -s 0.0.0.0/0 -j ACCEPT
# -----------------------
#
COMMIT

Уберем сохранялку iptables, от греха подальше, чтобы не затерла нам наш только что сделанный файлик с комментариями:
unlink /usr/sbin/iptables-save

Скинуть этот [[Файл:iptables.sh|мини]] в /etc/init.d/ с переименованием:
wget http://mna.tom.ru/wiki/index.php/%D0%A4%D0%B0%D0%B9%D0%BB:Iptables.sh
mv Iptables.sh /etc/init.d/iptables

Добавим в автозапуск:
chkconfig iptables --add

Настроим fail2ban:
sed -i "s/firewallcmd-ipset/iptables-multiport/" /etc/fail2ban/jail.d/00-firewalld.conf
sed -i "230a enabled = true" /etc/fail2ban/jail.conf
sed -i "239a enabled = true" /etc/fail2ban/jail.conf

Обновимся и перезагрузимся:
yum update -y
reboot